Datasikkerhedshåndbog for Dansk Handicap Forbund

Page 1

Datasikkerhedshåndbog

FOR DANSK HANDICAP FORBUND

2024
Side 1 af 24 Indholdsfortegnelse 1. Organisering og ansvar 2 2. Retningslinjer for sikkerhed, der især berører medarbejderne. 2 2.1 Instruktion og undervisning om databehandlingssikkerhed ............................................................................ 2 2.2 Retningslinjer for adgangsstyring ..................................................................................................................... 3 2.3 Brugeroprettelse og nedlæggelse ...................................................................................................................... 3 2.4 Regler for login og password 3 2.5 Medarbejdernes brug af password 3 2.6 Anvendelse af mails og opbevaring af mails i mailboks 4 2.7 Regler for anvendelse af institutionens mobile udstyr ..................................................................................... 4 2.8 Anvendelse af private PCér, datamedier og telefoner til behandling af personoplysninger .......................... 5 2.9 Regler for anvendelse af internettet og netværkstjenester ............................................................................. 5 3. Generelle sikkerhedsbestemmelser .................................................................................................................... 5 3.1 Beskyttelse af udstyr 5 3.2 Logning og overvågning 5 3.3 Backup 6 3.4 Retningslinjer for netværkssikkerhed ................................................................................................................ 6 3.4 Beskyttelse mod skadevoldende programmer og kode .................................................................................... 6 3.5 Retningslinjer for styring af sikkerhedshændelser ............................................................................................ 6 3.6 Retningslinjer for styring af leverandører og databehandlere 7 4 Principper, regler og forretningsgange for behandling af persondata 8 4.1 Principper for behandling af personoplysninger 8 4.2 Anvendelse af samtykke som grundlag for behandling af personoplysninger 8 4.3 Procedurer for udøvelse af den registreredes rettigheder, der sikrer .............................................................. 9 4.4 Fortegnelser udarbejdet over behandlingsaktiviteter med personoplysninger, der beskriver ....................... 9 Bilag 1. Organisation og ansvar 10 Bilag 2. Persondatameddelelelse/Samtykke 11 Bilag 3. Beredskabsplan for brud på persondatasikkerheden for DHF 13 Bilag 4. Meddelelse til registrerede om brud på persondatasikkerheden - art. 13 15 Bilag 5. Oversigt over databehandleraftaler ............................................................................................................. 17 Bilag 6. Samtykke – Behandling af medlemmers personoplysninger ...................................................................... 18 Bilag 7. Fortegnelsesdokument ................................................................................................................................. 19 Bilag 8. Retningslinjer om den registreredes rettigheder 21 Bilag 9. Samtykke, hvor DHF er dataansvarlige, til brug for behandling af personoplysninger. 23 Bilag 10. Brug af billeder og videooptagelser 24

Reglerne i denne datasikkerhedshåndbog er fastsat på baggrund af databeskyttelsespolitikken (Bilag 0).

1. Organisering og ansvar

Planlægning, implementering og kontrol af databeskyttelsespolitikken er defineret af virksomhedernes ledelse, der også er ansvarlig for implementering og vedligeholdelse af datasikkerhedssystemet og er ansvarlig for opfølgning på sikkerhedshændelser.

Virksomhederne ledelse har nederst i dette dokument fastsat, hvem der har ansvaret for forskellige del af databehandlingssikkerheden på følgende områder:

• Digitale (IT) databehandlingssystemer, de data, der opbevares i systemerne samt de forretningsgange, der har tilknytning til systemerne (systemejer)

• Papirbaserede systemer med persondata (arkiv), de data, der opbevares i systemerne samt de forretningsgange, der har tilknytning til systemerne (systemejer)

• System- og netværksadgang, styring, tildeling af rettigheder og adgangskoder

• IT-kontrakter og andre kontrakter, der indebærer behandling af persondata – indgåelse og opfølgning

• Indkøb af hardware og installation af software

• Henvendelser fra de registrerede om indsigt i sine personoplysninger eller udøvelse af retten til berigtigelse, sletning eller begrænsning af behandling og ret til dataportabilitet

• Meddelelser til den registrerede om registreringer, herunder oplysninger på institutionens hjemmeside

• Sikkerhedshændelser, opsamling og styring og pligtig anmeldelse af brud på persondatasikkerheden til Datatilsynet og de registrerede, der er berørt af bruddet

• I forbindelse med ansættelsen modtager medarbejderen særskilt instruktion i databehandlingssikkerhed og anvendelse af databehandlersystemerne (Persondatameddelelse/samtykke bilag 2)

2. Retningslinjer for sikkerhed, der især berører medarbejderne.

Ledere og medarbejdere er ansvarlige for at efterleve retningslinjer og procedurer for databehandlingssikkerhed i det daglige arbejde.

Virksomhederne behandler som led i sit arbejde følsomme oplysninger om kunder, medlemmer og ansatte som grundlag for arbejdet, og det er derfor vigtigt at medarbejderne har fokus på, at personoplysninger altid skal behandles fortroligt og kun videregives eksternt, hvis der foreligger et samtykke fra den registrerede, eller hvis det sker som følge af lovgivningen. Artikel 9 oplysninger om medlemmer behandles alene efter skriftligt samtykke imens almindelige oplysninger behandles efter artikel 6 stk. 1 pkt. b.

I det interne samarbejde hos virksomhederne gives eller udveksles kun personoplysninger, der er nødvendige for udførelse af arbejdet med kunder/medlemmer/ansatte eller som er nødvendige for udførelse af personaleadministration.

2.1 Instruktion og undervisning om databehandlingssikkerhed

Ledelsen sørger for, at den nødvendige viden og kompetence om databehandlingssikkerhed kommunikeres til alle medarbejdere, og at der løbende bliver arbejdet med holdninger og viden omkring databehandlingssikkerhed, herunder især i forbindelse med indførelse af nye automatiske databehandlingssystemer eller ændring af eksisterende systemer eller retningslinjer.

I forbindelse med ansættelsen modtager medarbejderne særskilt instruktion i databehandlingssikkerhed og anvendelse af databehandlersystemerne og medarbejderne underskriver i forbindelse med ansættelsen en erklæring om, at have gjort sig bekendt med institutionens databehandlingssikkerhedspolitik og at være forpligtet til at overholde den (Persondatameddelelse/samtykke bilag 2)

Side 2 af 24

De ansvarlige for de forskellige automatiske databehandlersystemer modtager den fornødne instruktion, oplæring og kurser om anvendelsen af disse systemer herunder også om persondatasikkerhed, som giver den nødvendige kompetence til at kunne varetage ansvaret.

2.2 Retningslinjer for adgangsstyring

Styringen og daglig administration af adgangsrettigheder tilrettelægges således, at hver medarbejder kun har adgang til de persondata, der er nødvendige for at kunne udføre arbejdet med virksomhederne kunder/medlemmer/ansatte i overensstemmelse med den besluttede arbejdsfordeling.

Medarbejderne har ikke adgang til personoplysninger om kunder/medlemmer/ansatte, som den pågældende ikke arbejder med.

Medarbejderne, der arbejder med løn og HR har adgang til alle personoplysninger.

Virksomhederne direktører har adgang til alle oplysninger i alle systemer.

2.3 Brugeroprettelse og nedlæggelse

Ved oprettelse som bruger i et databehandlingssystem, skal hver medarbejder tildeles et unikt brugernavn og adgangskode.

Brugernavnet er personligt og må ikke overdrages til andre.

Ved oprettelse eller nulstilling af adgangskode skal medarbejderen tildeles en midlertidig adgangskode, som skal ændres ved første anvendelse.

Udlevering af den midlertidige adgangskode skal ske på en sikker måde.

Midlertidige adgangskoder skal opfylde de gældende krav til adgangskoder, som er beskrevet nedenfor.

Standardadgangskoder fra systemleverandører skal ændres i forbindelse med installation af nye databehandlingssystem.

Ved omplaceringer og omorganiseringer, skal den nye leder sikre, at medarbejderen kun har de autorisationer, der er et arbejdsmæssigt behov for og at eventuelle ændringer af adgangsrettigheder registreres i systemerne af den ansvarlige for styring af adgangsstyringen.

Ved ansættelsesforholdets ophør skal medarbejderen aflevere IT-udstyr og lignende som tilhører virksomhederne, og den ansvarlige for adgangsstyringen inddrager medarbejderens adgangsrettigheder senest ved den pågældendes fratræden.

2.4 Regler for login og password

Adgangen til alle IT-systemer og netværk sker via et personligt tildelt brugernavn og adgangskode.

Adgangskoden udløber aldrig, men konti er beskyttet med MFR. Og skal overholde:

• alle arbejdsstationer skal have en skærmlås, der aktiveres automatisk efter højest 15 minutters inaktivitet med krav om indtastning af password

Adgangskoder til administratoradgang opbevares i en forseglet kuvert i et aflåst pengeskab hos direktøren.

Den ansvarlige for adgangsstyringen kan vælge at forny en brugers adgangskode og tildele brugeren en ny, hvis dette skønnes at være nødvendigt.

For at sikre overholdelse af retningslinjerne om databehandlingssikkerhed, samt med henblik på at forebygge eller udbedre systemnedbrud, kan den ansvarlige for systemadgang logge på enhver brugerkonto for at arbejde der.

2.5 Medarbejdernes brug af password

Adgangskoder er personlige og må under ingen omstændigheder udleveres til andre eller skrives ned.

Side 3 af 24

Anvendelse af fælles adgangskode er ikke tilladt.

Hvis flere medarbejdere benytter den samme PC-arbejdsstation, skal den enkelte medarbejder logge på med sin personlige adgangskode, før der udføres arbejdsopgaver på PC-arbejdsstationen, og logge af, inden den næste medarbejder overtager PCarbejdsstationen.

Når en medarbejder forlader en tændt arbejdsstation, skal den adgangskodebeskyttede skærmlås være aktiveret.

Brug af programmer og behandling af data, hvor en anden medarbejder er logget på, kan kun ske undtagelsesvis og efter konkret godkendelse af ledelsen, f.eks. i vikartilfælde.

Anvendelse af en password-keeper på f.eks. egen mobiltelefon, skal godkendes af den ansvarlige for adgangsstyring.

Såfremt adgangskoden kompromitteres, eller der opstår mistanke herom, er det medarbejderens ansvar straks at ændre sin adgangskode og underrette den ansvarlige for adgangsstyring.

2.6 Anvendelse af mails og opbevaring af mails i mailboks

E-mailsystemer er beregnet til arbejdsmæssige forhold, men i det omfang det ikke generer den arbejdsrelaterede anvendelse, må e-mailsystemet anvendes til private formål.

Medarbejderne skal overholde følgende regler vedr. brug af mail:

• Virksomhedernes regler om databeskyttelse skal overholdes ved brug af e-mailsystemer.

• Man må ikke åbne filer i e-mails fra en afsender, der er ukendt eller som man ikke har tillid til.

• E-mails der indeholder fortrolige eller personfølsomme oplysninger skal altid sendes med sikker e-mail, hvis de sendes udenfor institutionens interne netværk.

• Såfremt en modtager ikke kan modtage sikker e-mail, kan der ikke anvendes e-mails til denne modtager som indeholder fortrolige eller personfølsomme oplysninger, herunder f.eks. cpr-nummer.

• Det er ikke tilladt at sætte e-mailsystemet op til automatisk at videresende modtagne e-mail til en privat eller anden ekstern e-mailadresse.

• E-mails kan sendes uden kryptering inden for institutionens interne netværk

• Private e-mails skal markeres med teksten ”PRIVAT” i emnefeltet og arkiveres i en undermappe navngivet med ”PRIVAT”, hvis medarbejderen ønsker, at institutionen i videst muligt omfang ikke gør sig bekendt med indholdet. Ved sikkerhedsbrud, systemfejl eller mistanke om brud på databehandlingssikkerheden vil administrationen og systemleverandøren i nødvendigt omfang kunne tilgå de private e-mails.

Personoplysninger om kunder/medlemmer eller medarbejdere må ikke opbevares eller gemmes i mailsystemet i den enkelte medarbejders mail-mapper. Oplysningerne skal hurtigst muligt gemmes i de autoriserede IT-systemer til kunder/medlemmer og HR-data. Oplysningerne slettes derefter i medarbejderens mailsystem hurtigst muligt.

Ledelsen kan af arbejdsmæssige og forretningsmæssige årsager vælge at lade en tidligere medarbejders e-mailkonto forblive åben i kortere eller længere tid efter medarbejderens ophør. Ledelsen har i dette tilfælde fuld adgang til alle e-mails der modtages.

2.7 Regler for anvendelse af institutionens mobile udstyr

2.7.1 Oplysninger og programmer

Medarbejderne må ikke downloade eller gemme følsomme personoplysninger, herunder cpr-nummer om kunder/medlemmer/ansatte på virksomhedens mobile udstyr som PCér, USB-nøgler, mobiltelefoner mv.

Ledelsen kan i konkrete tilfælde tillade download af personoplysninger på virksomhedernes mobile udstyr, hvis arbejdet nødvendiggør dette. Det anvendte mobile udstyr skal i disse tilfælde være beskyttet med password – dette gælder også USBnøgler.

Personoplysningerne skal slettes på det mobile udstyr umiddelbart efter brugen.

Side 4 af 24

På virksomhedernes PCér og mobiltelefoner må kun findes de programmer og data, der er godkendt af ledelsen.

2.7.2 Beskyttelse af udstyr mod bortkomst og tyveri

Medarbejderne skal håndtere mobilt udstyr på en måde, så risikoen for tyveri minimeres.

Mobilt udstyr bør ikke efterlades i biler uanset om det er placeret i kabine, handskerum eller bagagerum.

Mobilt udstyr, der efterlades på kontoret efter arbejdstid skal lægges væk i aflåst skab eller aflåst skuffe.

2.8 Anvendelse af private PCér, datamedier og telefoner til behandling af personoplysninger

Oplysninger vedrørende virksomhedernes kunder/medlemmer samt HR-oplysninger om medarbejdere må ikke downloades på private PCére, private mobiltelefoner eller andet privat udstyr, uanset hvilken sikkerhedsbeskyttelse disse enheder har.

2.9 Regler for anvendelse af internettet og netværkstjenester

Privat brug af internetadgang må finde sted i det omfang, det er foreneligt med medarbejderens varetagelse af sit daglige arbejde og i øvrigt ikke strider mod lovgivningen, virksomhedernes regler om databehandlingssikkerhed og værdigrundlag.

Medarbejdere må ikke anvende virksomhedernes IT-udstyr til bevidst at opsøge anstødelige eller ulovlige hjemmesider, som f.eks. racistiske eller børnepornografiske hjemmesider.

Det er ikke tilladt at downloade IT-programmer, spil, billeder og lignende på virksomhederne IT-udstyr eller på de mobile enheder.

Det er kun tilladt at bruge sociale netværkstjenester i arbejdsmæssig sammenhæng, hvis det er godkendt af virksomhedernes ledelse.

Der må ikke via de godkendte sociale netværkstjenester udveksles fortrolige oplysninger, herunder personoplysninger vedrørende virksomhedernes forhold eller sager.

3. Generelle sikkerhedsbestemmelser

3.1 Beskyttelse af udstyr

IT-udstyr skal være placeret så skader og uautoriseret adgang minimeres og driftskritisk IT-udstyr skal beskyttes mod tyveri.

IT-udstyr, der benyttes til behandling af personoplysninger eller værdioplysninger, skal placeres på en sådan måde, at det er beskyttet mod adgang fra uvedkommende.

Printere, der benyttes til udskrivning af personoplysninger bør være konfigureret således, at det er muligt at udskrive dokumenter fortroligt under medarbejderens tilstedeværelse ved printeren.

I forbindelse med indkøb af IT-udstyr besluttes det, om IT-udstyret, skal tyverisikres gennem mærkning.

Bortskaffelse af IT-udstyr, som indeholder personoplysninger skal i det omfang det er muligt ske ved fysisk destruktion.

Ved salg, genbrug eller bortskaffelse af IT-udstyr herunder PC’er og eksterne harddiske skal alle data lagrede på udstyret slettes på en sådan måde, at data ikke kan gendannes.

3.2 Logning og overvågning

Der foretages logning af brugeraktiviteter i de IT-systemer, hvor der behandles følsomme personoplysninger om Virksomhedernes kunder/medlemmer/ansatte

Logningen omfatter:

• medarbejderidentifikation

Side 5 af 24

• dato for systemanvendelse, specificering af systemer, log-on og log-off.

• fejlede og succesfulde adgangsforsøg

Logdata opbevares i 180 dage, hvorefter de skal slettes hvis der ikke er særlige grunde til at opbevare dem længere

3.3 Backup

Der skal tages backup af data, f.eks. nødjournaler, der ikke hostes hos en ekstern databehandler.

Backup tages hver gang, der sker ændring i data og backupen skal opbevares sikkert og adskilt fra kildedata.

For data, der hostes hos en ekstern databehandler, aftales det i IT-kontrakten og/eller i databehandleraftalen, hvilken metode og hyppighed for backup der anvendes. Backup af hostede data hos ekstern databehandler, skal minimum foretages en gang i døgnet.

3.4 Retningslinjer for netværkssikkerhed

Netværksudstyr med gæsteadgang for kunder/medlemmer/gæster skal afvikles på et særskilt netværk, der er fysisk og logisk adskilt fra det administrative netværk.

Al adgang til det administrative netværk skal ske med brugernavn og adgangskode.

Netværksudstyr skal konfigureres efter bedst practices for sikkerhedskonfigurationer.

3.4 Beskyttelse mod skadevoldende programmer og kode

Alle servere, arbejdsstationer, bærbare Pc’er og andet mobilt IT-udstyr, netværksenheder og andre relevante enheder, skal være beskyttet mod ondsindet kode, såsom virus, malware, mm.

Netværksindgange og e-mail trafik til og fra institutionen skal være beskyttet mod ondsindet kode.

Det skal være muligt at blokere ondsindede websider eller e-mails, således at disse ikke kan tilgås.

Der skal som minimum skannes for følgende typer af data:

Kritiske systemfiler

Master boot records

Specifikke filer såsom PDF, eksekverbare filer, makroer, scripts, ondsindede links i e-mails, mm. Indgående/udgående netværkstrafik

Alle vedhæftede filer i e-mail systemer skal scannes inden de åbnes. Mobile medier såsom USB-enheder, eksterne drev og CD/Dvd’er

Java applets og browser-relaterede trusler

3.5 Retningslinjer for styring af sikkerhedshændelser

Ved konstatering af brud eller formodning om brud på reglerne om databehandlingssikkerhed skal den ansvarlige leder og den ansvarlige for indberetning til Datatilsynet underrettes herom. Se (Bilag 3) Beredskabsplan for brud og sikkerhedshændelser.

Hvis hændelsen har relation til et bestemt IT-system skal systemejeren også underrettes.

Medarbejdere der konstaterer IT-sikkerhedshændelser eller har en formodning herom, skal øjeblikkeligt notere alle vigtige detaljer såsom typen af brud, den opståede fejl, beskeder på skærmen og usædvanlige hændelser.

Den ansvarlige for indberetning til Datatilsynet skal sikre:

Side 6 af 24

• at data behandlere der hoster de pågældende data og/eller IT-systemer anmodes om at bistå med at sikre overholdelse af forpligtelserne om behandlingssikkerhed og anmeldelse af brud på sikkerheden til Datatilsynet og den registrerede

• at der, sker anmeldelse af sikkerhedsbruddet til Datatilsynet inden for fristen på 72 timer, med mindre det er usandsynligt at bruddet indebærer en risiko

• at der sker underretning til de registrerede, hvis bruddet er en risiko for den registreredes rettigheder

• at der straks iværksættes de foranstaltninger, der er nødvendige for at korrigere de konstaterede fejl eller svagheder

• at der udarbejdes en redegørelse fra involverede parter ved større it-sikkerhedshændelser

• at der sker opsamling og bearbejdning af oplysninger om it-sikkerhedshændelser.

3.6 Retningslinjer for styring af leverandører og databehandlere

Virksomhederne anvender i videst muligt omfang hostede løsninger hos eksterne leverandører og data behandlere

I alle tilfælde, hvor persondata hostes og/eller behandles hos en ekstern databehandler, skal der indgås en databehandler aftale enten som en del af IT-kontrakten eller som en særlig aftale, der evt. kan dække flere IT-kontrakter. Oversigt over virksomhedens databehandleraftaler fremgår af bilag 5

IT-kontrakten og/eller databehandleraftalen skal også altid indeholde en beskrivelse af de fysiske og logiske sikkerhedsforanstaltninger som databehandleren er forpligtet til at overholde.

3.6.1 Databehandleraftaler

Ved indgåelse af databehandleraftaler skal virksomhederne som minimum sikre sig, at databehandleraftalen er i overensstemmelse med Detabeskyttelsesforordningens artikel 28.

Databehandlerens behandling af persondata skal således være reguleret af en bindende kontrakt, der skal foreligge skriftligt, herunder elektronisk. Ifølge forordningen skal denne kontrakt, der kaldes en databehandler aftale mindst indeholde følgende bestemmelser:

• Fastsættelse af genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede

• Beskrivelse af den dataansvarliges forpligtelser og rettigheder

• At databehandleren kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige

• At databehandleren sikrer, at de personer, der behandler personoplysninger, har tavshedspligt

• At databehandleren iværksætter alle de tekniske og organisatoriske sikkerhedsforanstaltninger, som kræves i henhold til forordningens artikel 32 (se nedenfor i næste afsnit)

• At databehandleren så vidt muligt bistår den dataansvarlige teknisk og organisatorisk med forpligtelsen til at besvare henvendelser fra de registrerede om deres rettigheder

• At databehandleren bistår den dataansvarlige med at sikre overholdelse af forpligtelserne om behandlingssikkerhed samt anmeldelse af brud på sikkerheden til Datatilsynet og den registrerede

• At databehandleren efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige

• At databehandleren stiller alle oplysninger, der er nødvendige, til rådighed for den dataansvarlige

• At databehandleren ikke gør brug af en anden databehandler (underleverandør) uden skriftlig godkendelse fra den dataansvarlig

Hvis den eksterne databehandler ønsker at anvende underleverandører skal databehandleraftalen med databehandleren indeholde følgende bestemmelser:

• at databehandleren skal opfylde de betingelser, der er fastsat, for at gøre brug af en anden databehandler (underleverandør) – fx at behandling af personoplysninger kun må ske inden for EU

• at databehandleren har pligt til at indgå en databehandler aftale med sin underleverandør, der sikrer, at denne har de samme forpligtelser, som databehandleren har over for den dataansvarlige, herunder de passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Side 7 af 24

3.6.2 Leverandørens/databehandlerens sikkerhedsniveau, håndtering af sikkerhed og kontrol med leverandøren

Det skal fremgå af databehandleraftalen og/eller IT-kontrakten, at databehandleren forpligter sig til at gennemføre passende tekniske og organisatoriske foranstaltninger, der sikrer et sikkerhedsniveau, der opfylder kravene i Detabeskyttelsesforordningens artikel 32.

Af IT-kontrakterne og/eller databehandleraftalerne bør fremgå bestemmelser om at leverandøren/databehandleren :

• er bekendt med og garanterer, at ydelserne opfylder alle krav i virksomhedernes databehandlingssikkerhedspolitik, herunder datasikkerhedshåndbogen

• behandler virksomhedernes data fortroligt i overensstemmelse med god it-skik

• opretholder en rimelig og opdateret beskyttelse af driftsmiljøet i overensstemmelse med god it-skik og praksis

• har et beredskab, der begrænser driftsafbrydelser, herunder backup

• foretager en årlig katastrofe- og reetableringstest

• kan reetablere systemer og data efter et nedbrud

• får foretaget en årlig IT-revision af driften efter en international anerkendt revisionsstandard eller

• tillader, at kunden er berettiget til at gennemføre inspektion af driftsmiljøet

• skal opretholde relevante forsikringer, herunder for datatab

• er ansvarlig for, at hans ydelser overholder lovgivningen

• skal udforme og kontinuerlig ajourføre dokumentation, herunder driftshåndbog

• efter anmodning udlever oplysninger og dokumentation

4 Principper, regler og forretningsgange for behandling af persondata

Ledelsen fastsætter principper og forretningsgange for virksomhedernes behandling af persondata, der sikrer overholdelse af Databeskyttelsesforordningen og Databeskyttelsesloven.

Forretningsgangene, omfatter de nedenfor fastsatte principper og regler.

4.1 Principper for behandling af personoplysninger

Ledelsen har besluttet at det – ud over det øvrige fastsatte sikkerhedsniveau – skal sikres at persondata:

• Behandles lovligt, rimeligt og på en gennemsigtig måde (hjemmel)

• indsamles og viderebehandles til udtrykkeligt angivne og legitime formål (formålsbegrænsning)

• begrænses til, hvad der er nødvendigt til formålet (dataminimering)

• er korrekte og ajourførte (rigtighed)

• ikke opbevares i et længere tidsrum end hvad der er nødvendigt (opbevaringsbegrænsning)

Beslutning vedrørende principper for behandling

I forbindelse med instruktionerne for de enkelte databehandlingssystemer fastlægges behandlingen af persondata så det sikres, at behandlingen har hjemmel, at den er formålsbegrænset, nødvendig og rigtig.

Opbevaringsbegrænsning

Der er fastsat regler for opbevaringsbegrænsning i form af, hvornår persondata skal slettes i alle databehandlingssystemer, såvel elektroniske som manuelle. Personoplysninger slettes senest 5 år efter et ansættelses/medlems/forretningsforhold er ophørt.

Hvis det er nødvendigt for at kunne overholde lovmæssige forpligtelser eller i retssager kan data opbevares i længere tid.

4.2 Anvendelse af samtykke som grundlag for behandling af personoplysninger

Hvor samtykke er påkrævet skal det sikres:

• at samtykket er givet frivilligt

• at samtykket er specifikt, så det klart og tydeligt fremgår, hvad det er givet til

• at det tydeligt kan påvises, at den registrerede har givet samtykke

• at samtykket er gives skriftligt på en måde, hvor det klart kan skelnes fra andre forhold

• at det gives i et klart og enkelt sprog og

• at den registrerede er oplyst om, at samtykket nemt kan trækkes tilbage

Side 8 af 24

Beslutning vedrørende samtykke

Ledelsen har udarbejdet retningslinjer for brug af samtykke i følgende tilfælde:

• Samtykke til ansatte (Persondatameddelelse/samtykke bilag 2)

• Nødvendigt samtykke til behandling af personoplysninger om medlemmer (Bilag 6)

4.3 Procedurer for udøvelse af den registreredes rettigheder, der sikrer

• at den registrerede i en let tilgængelig form i et kortfattet, gennemsigtigt, letforståeligt, klart og enkelt sprog kan få oplysning om det registrerede

• at den registrerede modtager de lovpligtige oplysninger ved indsamling af personoplysninger hos den registrerede eller hos andre

• at der er en klar placering af hvem, der har ansvaret for at behandle anmodninger fra den registrerede om indsigt i sine personoplysninger eller udøvelse af retten til berigtigelse, sletning eller begrænsning af behandling og ret til dataportabillitet

Beslutning vedr. den registreredes rettigheder

Direktøren har ansvaret for at sikre de registreredes rettigheder i h.h.t. Databeskyttelsesforordningen.

4.4 Fortegnelser udarbejdet over behandlingsaktiviteter med personoplysninger, der beskriver

• Navn på og kontaktoplysninger om den dataansvarlige

• Formålene med behandlingen af personoplysningerne

• Kategorier af de registrerede og kategorier af personoplysninger

• Kategorier af modtagere, som personoplysningerne videregives til

• Tidsfrister for sletning af de forskellige kategorier af oplysninger

• Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende behandling af persondata (ved henvisning til Databehandlingssikkerhedspolitikken). Fortegnelsesdokument fremgår af bilag 7

Beslutning vedr. fortegnelser

Der udarbejdes fortegnelser over behandling af personoplysninger på følgende områder:

• Bilag 7 Persondata vedr. medlemmer

• Bilag 7 Persondata vedr. medarbejdere til personaleadministration og HR-virksomhed

Side 9 af 24

Bilag 1. Organisation og ansvar

Virksomhedernes ledelse har fastsat, hvem der har ansvaret for forskellige del af databehandlingssikkerheden på følgende områder.

Databehandlingssikkerhedsområde

Ansvarlig leder/medarbejder Styring af systemadgang og netværksadgang samt tildeling af rettigheder

Indgåelse af IT-kontrakter og andre kontrakter, der indebærer behandling af persondata

Direktør Jens Bouet

Direktør Jens Bouet Indkøb af hardware og installation af software

Konsulent Claus Jensen Behandling af henvendelser fra de registrerede om indsigt i sine personoplysninger eller udøvelse af retten til berigtigelse, sletning eller begrænsning af behandling

Projektleder Majbritt Børge Jensen

Meddelelser til den registrerede om registrering, herunder oplysninger på hjemmesiden

Kommunikationsansvarlig Laura Hansen Opsamling og styring af sikkerhedshændelser og Anmeldelse af brud på persondata-sikkerheden til Datatilsynet og de registrerede, der er berørt af bruddet - når dette er påkrævet

Direktør Jens Bouet

Direktør Jens Bouet I forbindelse med ansættelsen modtager medarbejderen særskilt instruktion i databehandlingssikkerhed og anvendelse af databehandlersystemerne

For hver af institutionens, automatiske og manuelle databehandlingssystemer, de data, der opbevares i systemerne samt de forretningsgange, der har tilknytning til systemerne er udpeget en ansvarlig (systemejer)

Automatisk databehandlingssystem

Beskriv systemerne:

Microsoft Business 360 online/TIETOEVRY

Membercare/Groupcare A/S

Rambøll Management Consulting A/S

DI Tele

Willis Tower Watson

Cortex Consult

Dataløn-lønadministration

Portoservice

Intryk Aps

Rosendahl Mediaservice

FL Reklame

BB Consulting

Coloplast A/S

Manuelt databehandlingssystem (arkiv)

Alle manuelle systemer

Personaleregister

Bogholderi/lønsedler

Systemejer (ansvarlig)

Projektleder Majbritt Børge Larsen

Projektleder Majbritt Børge Larsen

Projektansvarlig Katrine Ibsen Larsen

Konsulent Claus Jensen

Direktør Jens Bouet

Konsulent Claus Jensen

Økonomiansvarlig Mette Brønnum

Direktør Jens Bouet

Direktør Jens Bouet

Direktør Jens Bouet

Direktør Jens Bouet

Direktør Jens Bouet

Direktør Jens Bouet

Systemejer (ansvarlig)

Direktør Jens Bouet

Økonomiansvarlig Mette Brønnum

Side 10 af 24

Bilag 2. Persondatameddelelelse/Samtykke

Allonge til ansættelseskontrakten.

Som led i ansættelsesforholdet vil DHF behandle en række personoplysninger om medarbejderen. Vilkårene for DHFs behandling fremgår af datasikkerhedshåndbogen, som den ansatte har pligt til at læse når denne fremsendes.

Behandlingen vil ske i overensstemmelse med god databehandlingsskik, og i øvrigt som foreskrevet i den til enhver tid gældende lov om behandling af persondata.

Som led i den sædvanlige personaleadministration behandler DHF personoplysninger om medarbejderen, heriblandt personoplysninger om medarbejderen, der blandt andet omfatter oplysninger om navn, kontaktoplysninger, cpr-nummer, lønforhold, uddannelsesforhold, erhvervserfaring, bankoplysninger, skatteoplysninger, sygefravær, personlighedstest/erhvervstest, eventuelle strafbare forhold, eventuelle helbredsoplysninger samt oplysninger om mussamtaler, advarsler, eventuel opsigelse eller bortvisning. En sådan behandling vil kun finde sted i det omfang den er nødvendig for varetagelsen af en berettiget interesse for medarbejderen eller for DHF i forbindelse med den sædvanlige personaleadministration.

DHF videregiver endvidere personoplysninger til koncerninterne selskaber, som er placeret i EU samt visse tredjeparter. Sådanne tredjeparter kan f.eks. være et lønhåndteringsbureau, leverandører, Arbejdsskadestyrelsen i tilfælde af arbejdsulykke samt andre offentlige myndigheder, hvis det er påkrævet efter lovgivningen, at personoplysninger skal videregives, eller hvis det nødvendig for varetagelsen af en berettiget interesse for medarbejderen eller for DHF i forbindelse med den generelle personaleadministration.

Medarbejderen kan opnå indsigt i og berigtige registrerede personoplysninger ved at henvende sig til DHFs dataansvarlige. Se kontaktoplysninger nederst.

DHF kan have en interesse i at opbevare oplysninger om medarbejderen efter ansættelsens ophør. I så fald vil personoplysninger ikke blive opbevaret i mere end 5 år efter ansættelsesforholdets ophør, hvorefter oplysningerne slettes.

Efter ansættelsens ophør vil DHF endvidere fortsat anvende den i forbindelse med medarbejderens ansættelse oprettede emailkonto. Anvendelsens længde fastsættes under hensyntagen til medarbejders funktion, dog aldrig længere end 12 måneder. E-mailkontoen benyttes kun til modtagelse af e-mail samt til videre sendelse af eventuelt modtagne personlige e-mail til medarbejderens private e-mailkonto.

Samtykke til behandling af anden persondata

Medarbejderen giver ved sin underskrift samtykke til, at DHF behandler følgende persondata:

DHF tager et portrætbillede af medarbejderen i forbindelse med ansættelsen, og medarbejderen giver desuden tilladelse til, at DHF kan tage visse situationsbilleder, hvorpå medarbejderen medvirker. Medarbejderen giver tillige samtykke til, at billederne kan anvendes på DHFs hjemmeside, til markedsføringsaktiviteter, til jobannoncer af såvel elektronisk karakter som i trykte aviser, i DHFs årsrapport mv.

Medarbejderen er indforstået med, at billeder på hjemmesiden og evt. sociale medier ikke kan slettes af DHF.

Underskrifter

Medarbejderen bekræfter ved sin underskrift på dette bilag, at medarbejderen accepterer og er indforstået med at; de nævnte dataansvarlige behandler de nævnte personoplysninger om medarbejderen, og at oplysningerne kan videregives til de nævnte modtagere,

Medarbejderen kan klage over behandlingen af personoplysninger til Datatilsynet, Borgergade 28, 1300 København K, tlf.: 33193200, eller via e-mail: dt@datatilsynet.dk, og

Side 11 af 24

Det er frivilligt at underskrive denne samtykkeerklæring og samtykket kan til enhver tid tilbagekaldes, Idet omfang medarbejderen tilbagekalder hele eller dele af sit samtykke er medarbejderen indforstået med, at ansættelsen bringes til ophør hvis det manglende samtykke betyder, at DHF ikke kan varetage lovpligtig personaleadministration eller det manglende samtykke i øvrigt påføre DHF væsentlige og usædvanlige administrative byrder. Tilbagekaldelse af samtykke bedes rettes pr. email til Jens Bouet CEO/Direktør: (Jens@danskhandicapforbund.dk)

Dato:

Dato: For DHF

For Medarbejderen

Side 12 af 24

Bilag 3. Beredskabsplan for brud på persondatasikkerheden for DHF

1. Hvem har ansvaret for at handle?

Anmeldelse af brud på persondatasikkerheden til datatilsynet

Ansvarlig for anmeldelse af brud på persondatasikkerheden til Datatilsynet og kontaktperson for databehandler ved underretning om brud:

Direktør Jens Buet

Følgende personer er herudover bemyndiget til at foretage anmeldelse til Datatilsynet og kan kontaktes af databehandler ved brud på persondatasikkerheden:

Konsulent Claus Jensen

Projektleder Majbritt Børge Larsen Økonomiansvarlig Mette Brønnum

Anmeldelse sikkerhedshændelser (brud) på persondatasikkerheden til Datatilsynet den digitale indberetningsløsning på Virk.dk Datatilsyets Vejledning om håndtering af brud på persondatasikkerheden findes her.

Ansvarlig for underretning af de registrerede ved brud på persondatasikkerheden

Ansvarlig for underretning af de registrerede ved brud på persondatasikkerheden:

Direktør Jens Buet

Følgende personer er herudover bemyndiget til at foretage underretning af de registrerede ved brud på persondatasikkerheden:

Kommunikationsansvarlig Laura Hansen

Konsulent Claus Jensen

2. Hvornår skal der ske anmeldelse til Datatilsynet?

Den ansvarlige (se hvem det er ovenfor) skal, i tilfælde af et brud på persondatasikkerheden, hurtigst muligt og uden unødig forsinkelse foretage anmeldelse af sikkerhedshændelsen (bruddet) til Datatilsynet medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.

Anmeldelsen skal ske indenfor 72 timer efter virksomhederne er blevet bekendt med bruddet.

Du kan læse mere om hvad et databrud er her.

3. Hvilke oplysninger skal indberettes Datatilsynet?

Når sikkerhedshændelsen (bruddet) indberettes til Datatilsynet vil der skulle svares på disse spørgsmål:

• Karakteren af bruddet på persondatasikkerheden mv.

Side 13 af 24

• Navn på og kontaktoplysninger for den dataansvarlige eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes.

• De sandsynlige konsekvenser af bruddet på persondatasikkerheden.

• De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

• Den dataansvarlige skal dokumentere alle brud, herunder de faktiske omstændigheder, konsekvenser og trufne afhjælpende foranstaltninger.

Anmeldelse til Datatilsynet kan ske trinvist hvis ikke alle spørgsmål kan besvares indenfor 72 timer.

Det er vigtigt, at Datatilsynet modtager alle de oplysninger der kan fremskaffes inden de 72 timer er gået.

4. Hvornår skal den registrerede underrettes

De ansvarlige (se ovenfor) underrette den registrerede, når en sikkerhedshændelse (brud) på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

De enkelte registrerede skal underrettes uden unødig forsinkelse.

Underretningen, der skal gives i et klart og forståeligt sprog, skal beskrive karakteren af sikkerhedshændelsen (bruddet) og mindst indeholde oplysninger om:

• Navn på og kontaktoplysninger for virksomhedernes ansvarlige kontaktperson for personoplysninger eller et andet kontaktpunkt, hvor yderligere oplysninger kan fås.

• De sandsynlige konsekvenser af bruddet på persondatasikkerheden.

• De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Ved underretning af den registrerede om brud persondatasikkerheden anvendes virksomhedernes bilag 4 brevskabelon.

Hvis der er tvivl om den registrerede skal underrettes findes yderligere oplysning i Datatilsynets Vejledning om håndtering af brud på persondatasikkerheden findes her

Det er ikke nødvendigt at underrette den registrerede, hvis en af følgende betingelser er opfyldt:

• Virksomhederne har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger efter reglerne i Datasikkerhedshåndbogen

• Virksomhederne har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel.

• Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

5. Er der andet du skal foretage dig?

Uanset om sikkerhedshændelsen (bruddet) skal anmeldes til Datatilsynet og om den registrerede skal oplyses om sikkerhedshændelsen (bruddet), vil der være tale om en informationssikkerhedshændelse og dermed en afvigelse i forhold til formålet med virksomhedernes databesskyttelsespolitik og beskyttelsesforanstaltningerne efter reglerne i Datasikkerhedshåndbogen Derfor skal alle sikkerhedshændelser (brud) dokumenteres, arbejdsgange skal evalueres som beskrevet i Databeskyttelsespolitikken og Datasikkerhedshåndbogen.

Brud på persondatasikkerheden registreres i DHF

Side 14 af 24

Bilag 4. Meddelelse til registrerede om brud på persondatasikkerheden - art. 13

Kære […]

[Indledning til hændelse]

Nærmere beskrivelse af bruddet på persondatasikkerheden

[Hvad er der konkret sket]

Konsekvenserne af bruddet på persondatasikkerheden for Dem [Her beskrives de sandsynlige konsekvenser af bruddet på persondatasikkerheden]

Foranstaltninger for at afhjælpe bruddet på persondatasikkerheden

[Hvad gør vi, og hvad har vi allerede gjort for at håndtere bruddet og begrænse skaden, hvis skaden allerede er indtrådt]

Yderligere informationer og kontakt til os

Såfremt De har yderligere spørgsmål til kompromitteringen af Deres oplysninger, beder vi Dem venligst rette henvendelse til

Direktør Jens Bouet

Carl Gustavs Gade 3, 2630 Taastrup

Endnu engang må vi beklage den risiko, vi har udsat Dem for.

Direktør Jens Bouet

Side 15 af 24

IT-system - navn

Microsoft Business 360 online

Medlemssystemet Membercare, Selvbetjeningsløsningen Membersite og tilknyttede systemer

inkl Hosting og vedligehold

Standardkontraktsbestemmelser

DI Tele

Willis Tower Watson

Cortex Consult

Portoservice

DataLøn

INTRYK Aps

Rosendahls Mediaservice

FL Reklame

BB Consulting

Side 16 af 24

Leverandør

TIETOEVRY

Østbanegade 123

2100 KBH Ø

CVR:25680480

Groupcare A/S

Nannasgade 28

2200 København N

CVR:29521549

Rambøll Management Consulting A/S

Hannemanns Alle´53

2300 København S

CVR:60997918

DI Tele APS

Dampfærgevej 10, 1.sal th

2100 København Ø

CVR: 24219690

Willis Towers Watson I/S

Rundforbivej 303

2850 Nærum

CVR: 13180695

Cortex Consult A/S

Trekronergade 126F

2500 Valby

CVR:21006394

Portoservice Aps

Fabriksvej 6

9490 Pandrup

CVR: 27734383

Visma DataLøn og ProLøn A/S

Gærtorvet 1-5

1799 København V

CVR: 48117716

Intryk Aps

Hovedgaden 8

8670 Låsby

CVR:14101209

Rosendahls Mediaservice

Oddesundvej 1

6715 Esbjerg N

37120928

FL Reklame

Agerbakken 21

8362 Hørning

CVR:72803116

BB Consulting

Møller Bakker 17

9641 Suldrup

26203244

Er der indgået databehandler-aftale

Ja

Ja

ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Coloplast A/S

Oversigt

over databehandleraftaler

Coloplast A/S

Holtedam 1

3050 Humlebæk

CVR: 69749917

Side 17 af 24 Bilag 5.
Ja

Bilag 6. Samtykke – Behandling af medlemmers personoplysninger

Der anvendes skriftligt samtykke til behandling af personoplysninger til følgende personer:

Medlemmer af DHF. Ved indmeldelse gives skriftligt samtykke til behandling af relevante personoplysninger.

Tillidsvalgte og samarbejdspartnere. Der anvendes skriftligt specifikt samtykke til behandling af nødvendige personoplysninger. Bilag 9

Ansatte. Der anvendes skriftlig samtykke fra de ansatte til behandling af personoplysninger i sædvanlig personaleadministration.

Billeder. Der anvendes skriftlig samtykke ved anvendelse af billeder såvel internt som til markedsføring, herunder på sociale medier

Vedtægter. DHF’s lokalafdelinger tilslutter sig DHF’s databesskyttelsespolitik

Side 18 af 24

Bilag 7. Fortegnelsesdokument

INTERN FORTEGNELSE

Over behandlingsaktiviteteter - udarbejdet i henhold til Databeskyttelsesforordningens artikel 30

Virksomhedens dataansvarlige:

Artikel 30 stk. 1, punkt a

Formål med behandlingen:

Artikel 30 stk. 1, punkt b

Kategorierne af registrerede og kategorierne af personoplysninger:

Artikel 30 stk. 1, punkt b

Kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer: Artikel 30 stk. 1, punkt d

De forventede tidsfrister for sletning af de forskellige kategorier af oplysninger: Artikel 30 stk. 1, punkt f

Direktør Jens Bouet

CVR-nr. 55269815

Carl Gustavs Gade 3, 2630 Taastrup jens@danskhandicapforbund.dk

DHF behandler personoplysninger elektronisk og manuelt i forbindelse med varetagelse af DHFs medlemmers interesser samt til brug for personaleadministration

Grundlaget for behandling af personoplysninger er Databeskyttelsesforordningens artikel 6 stk. 1 pkt. a, b, c, e og artikel 9 stk. 2 pkt. a og b jfr. Art 88.

Hvor grundlaget for behandlingen af personoplysninger ikke hviler på lovkrav sker dette på grundlag af samtykke.

For yderligere oplysning om DHFs behandlingsaktiviteter, henvises til Databeskyttelsespolitikken og Databeskyttelseshåndbogen.

Der behandles oplysninger om følgende kategorier af registrerede personer:

a) Medlemmer

b) Ansatte i DHF

c) Andre samarbejdspartnere

Der behandles følgende kategorier af oplysninger om de registrerede personer:

a) Identifikationsoplysninger Artikel 6.

b) Særlige følsomme oplysninger Artikel 9 hvis dette er lovpligtigt eller hvis der er opnået samtykke hertil jfr. Artikel 9 stk. 2 a

Personoplysninger videregives til:

a) Offentlige myndigheder hvor dette er et lovkrav

Alle dokumenter, som indgår i en sag/personsag/mailliste/kontaktregistre m.v., opbevares som udgangspunkt så længe DHF har et aktivt samarbejde/arbejde med personen.

Dokumenter, som DHF ikke ønsker at opbevare, slettes løbende efter DHFs nærmere skøn.

Eksempler herpå kan være formløse notater/noter eller andre tilsvarende dokumenter, som DHF skønner ikke længere tjener, eller skal tjene et formål.

Personoplysninger på personer, som DHF ikke længere har et arbejdsmæssigt

Side 19 af 24

Generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger på virksomheden Artikel 30 stk. 1 punkt. g jfr. artikel 32 stk. 1

formål med at behandle eller aktivt samarbejde med, slettes senest efter 5 år.

Hvis der indgår personoplysninger i en sag/personsag, som er omfattet af andre lovregler om sletning, følger DHF disse sletteregler.

Der henvises til:

Databeskyttelsespolitik for virksomheden Databeskyttelseshåndbog for virksomheden Medarbejdererklæring for medarbejdere ansat af virksomheden. Bilag 2

Liste over gældende databehandleraftaler for virksomheden Bilag 5 Beredskabsplan for håndtering af brud og sikkerhedshændelser Bilag 3

Side 20 af 24

Bilag 8. Retningslinjer om den registreredes rettigheder

Dansk Handicap Forbund, Carl Gustavs Gade 3, 2630 Taastrup, CVR-nummer 55269815 har den 1. april 2024 fastsat følgende retningslinjer til sikring af registreredes rettigheder og for behandling af henvendelser fra registrerede om deres rettigheder i henhold til databeskyttelsesforordningen artikel 13 til 20.

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Ved indsamling af oplysninger hos den registrerede giver, på det tidspunkt hvor oplysningerne indsamles, de oplysninger som fremgår af Detabeskyttelsesforordningens artikel 13. stk. 1, 2 og 3.

2. Oplysningspligt overfor den registrerede hvor oplysningerne ikke indsamles hos den registrerede:

Hvor personoplysninger ikke er indsamlet hos den registrerede tager Dansk Handicap Forbund stilling til om der skal gives meddelelse til den registrerede om indsamlingen.

Hvis der skal gives meddelelse om indsamling af personoplysninger til den registrerede giver Dansk Handicap Forbund de oplysninger til den registrerede som fremgår af artikel 14. Stk. 1, 2 og 4.

Oplysningerne gives hurtigst muligt indenfor den frist som fremgår af artikel 14. stk. 3.

3. Den registreredes indsigtsret

Når den registrerede anmoder om indsigt i personoplysninger vedrørende den pågældende behandles denne anmodning af Dansk Handicap Forbund. Se bilag 1.

Dansk Handicap Forbund sikrer, at der ikke udleveres oplysninger som krænker andres rettigheder.

Dansk Handicap Forbund tager stilling til om der er grund til at nogle af de registrerede personoplysninger ikke bør eller skal udleveres efter gældende lovgivning og praksis.

Oplysningerne udleveres som papirkopi eller i elektronisk form.

Begæring om indsigt imødekommes hurtigst muligt indenfor en frist på 14 dage.

4. Anmodning om berigtigelse

Når den registrerede anmoder om berigtigelse af urigtige personoplysninger vedrørende den pågældende behandles denne anmodning af Dansk Handicap Forbund.

Dansk Handicap Forbund tager stilling til om det er nødvendigt at indhente supplerende erklæringer til brug for behandling af anmodningen.

Dansk Handicap Forbund udarbejder svar til den registrerede.

Begæring om berigtigelse imødekommes hurtigst muligt indenfor en frist på 14 dage. Såfremt der skal indhentes supplerende erklæringer forlænges fristen med den tid som medgår hertil.

Den registrerede oplyses om hvorvidt der indhentes supplerende erklæringer.

Dansk Handicap Forbund underretter de modtagere som personoplysningen er videregivet til om berigtigelsen. Kopi af underretningen sendes til den registrerede.

5. Anmodning om sletning af personoplysninger

Når den registrerede anmoder om sletning af personoplysninger vedrørende den pågældende, behandles denne anmodning af Dansk Handicap Forbund

Dansk Handicap Forbund tager stilling til om grundlaget for at kræve oplysningerne slettet er tilstede.

Side 21 af 24

Hvis oplysningerne kan kræves slettet, giver Dansk Handicap Forbund underretning til andre dataansvar-lige og datebehandlere til hvem oplysningerne er videregivet om at oplysningerne skal slettes.

Kopi af underretningen sendes til den registrerede.

Begæring om sletning imødekommes hurtigst muligt indenfor en frist på 14 dage.

6. Begæring om begrænsning af behandling af personoplysninger

Når den registrerede anmoder om begrænsning af behandling af personoplysninger vedr. den pågældende behandles denne anmodning af Dansk Handicap Forbund.

Dansk Handicap Forbund tager stilling til om betingelserne for begrænsning er tilstede og fastsætter et tidsrum for varigheden af begrænsningen.

Dansk Handicap Forbund underretter de modtagere som personoplysningen er videregivet til om begrænsningen. Kopi af underretningen sendes til den registrerede.

Dansk Handicap Forbund underretter den registrerede inden begrænsningen ophæves.

7. Begæring om ret til dataportabilitet

Når den registrerede anmoder om at modtage personoplysninger om sig selv, som den registrerede selv har givet

Dansk Handicap Forbund behandles denne anmodning af Dansk Handicap Forbund.

Dansk Handicap Forbund tager stilling til om betingelserne for udlevering af oplysningerne er tilstede og tager stilling til i hvilke form det er muligt at udlevere oplysningerne.

Dansk Handicap Forbund sikrer, at der ikke udleveres oplysninger som krænker andres rettigheder.

Side 22 af 24

Bilag 9. Samtykke, hvor DHF er dataansvarlige, til brug for behandling af personoplysninger.

Skriv, hvad der er tillidshvervet:_____________________________________________

Lokalafdeling / specialkreds / andet: ________________________________________

Navn på person som samtykker:____________________________________________

Som medlem / frivillig / tillidsvalgt / samarbejdspartner behandler vi sædvanligvis oplysninger om navn, adresse, telefonnummer og e-mailadresse. Det kan forekomme, at der kan være brug for at behandle andre personoplysninger.

Med din underskrift giver du samtykke i medfør af Detabeskyttelsesforordningens artikel 6, stk. 1, pkt. a, samt evt. artikel 9, stk. 2, pkt. a, til, at vi kan behandle dine personoplysninger for at kunne kontakte dig, når der opstår behov herfor og som led i den almindelige administration af samarbejdet imellem dig og Dansk Handicap Forbund.

Personoplysning

Navn

Adresse

Telefonnummer

E-mail

Cpr. Nummer

Billede, herunder på sociale medier – slettes ikke Andet – skriv data

Sæt kryds

Det vil kræve et nyt, konkret samtykke fra dig at behandle dine personoplysninger, udover hvad der er beskrevet og godkendt af dig ovenfor.

Vi sletter personoplysninger i overensstemmelse med den politik for sletning af persondata, som fremgår af Dansk Handicapforbunds databesskyttelsespolitik/databeskyttelseshåndbog. Se forbundets hjemmeside.

Jeg er indforstået med, at DHF ikke kan slette billeder på internettet og sociale platforme

Du kan til enhver tid trække dette samtykke, eller dele af samtykket, tilbage ved at sende os en e-mail til dhf@danskhandicapforbund.dk med besked om, at du ønsker at trække dit samtykke, eller dele af samtykket, tilbage.

Hvis du trækker dit samtykke tilbage, må du regne med, at du ikke længere kan opretholde dit tillidshverv i Dansk Handicap Forbund, og at vores samarbejde må ophøre.

Dato: _______________________________________________________________________________

Navn:________________________________________________________________________________

Underskrift:___________________________________________________________________________

Indsendes senest d. XX dhf@danskhandicapforbund.dk

Side 23 af 24

Bilag 10. Brug af billeder og videooptagelser

Dansk Handicap Forbund kan have brug for at tage billeder/video af personer i følgende situationer:

• Arrangementer som DHF er arrangør af

• Til brug for opslag på hjemmesiden

• Til markedsføring og reklame

• Til internt brug

• Andre konkrete anledninger

Dansk Handicap Forbund tager kun billeder/video når der er indhentet skriftligt samtykke fra den person som der tages billeder/video af.

Samtykket indebærer at Dansk Handicap Forbund kan anvende billeder/video til det angive formål. Samtykket kan altid tilbagekaldes. Billeder/Video kan dog ikke kræves slettet hvis dette ikke er en mulighed for Dansk Handicap Forbund f.eks. fordi Dansk Handicap Forbund ikke råder over slettemuligheder på internettet, sociale medier el. eller fordi det vil være forbundet med uforholdsmæssige udgifter at slette billeder/video i markedsføringsmateriale, publikationer el.

Med dit samtykke accepterer du samtidig at Dansk Handicap Forbund ikke kan foranledige sletning på billeder på internettet eller sociale medier eller hvor dette er uforholdsmæssigt dyrt.

Med dit samtykke giver du samtidig samtykke til, at Dansk Handicap Forbund og distributøren kan anvende billeder/video i egne medier, pressemeddelelser, digitale platforme

Navn Øvrige familiemedlemmers og hjælperes navn

Samtykke ja/nej Underskrift fra personer som giver samtykke

Side 24 af 24

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.