13. OKTOBER 2022
GDPR: Sikkerhedsforanstaltninger
Et menighedsråd har ansvar for at overholde reglerne om persondatabeskyttelse – det kaldes også GDPR-regler. Vi hjælper dig med at gøre GDPR-reglerne mulige at håndtere.
Fysiske dokumenter, der indeholder personoplysninger, skal opbevares på en måde, så de ikke er tilgængelige for uvedkommende.
Af: Arbejdsgiver og Rådgivning, Red. Camilla Folsach Madsen
Værd at vide om GDPR for menighedsråd – Nyhed 11
Her er den ellevte nyhedsartikel med viden og praktiske tips til hvordan I konkret kan leve op til reglerne.
Indhold denne gang:
- Fysiske foranstaltninger
- Tekniske foranstaltninger
- Organisatoriske foranstaltninger
Menighedsrådet er ansvarligt for, at personoplysninger behandles sikkerhedsmæssigt forsvarligt. Det betyder, at menighedsrådet skal sikre, at ansatte, frivillige og menighedsrådsmedlemmer alle er bekendt med, hvordan oplysninger behandles sikkert.
Landsforeningen har lavet en tekstskabelon til en sikkerheds- og slettepolitik, hvor nogle praktiske sikkerhedsmæssige foranstaltninger er fremhævet.
Læs en uddybning af de forskellige typer af foranstaltninger i vores ”Værd at vide om GDPR for menighedsråd”, som du finder under vores tema om GDPR.
. Foranstaltningerne skal fremgå af menighedsrådets fortegnelser – se mere om fortegnelser i Værd at vide.
Fysiske foranstaltninger
Fysiske dokumenter, der indeholder personoplysninger, skal opbevares på en måde, så de ikke er tilgængelige for uvedkommende, og så kun personer med et arbejdsbetinget behov kan anvende dem. Ved arbejdsdagens ophør må dokumenter med personoplysninger eller fortrolige oplysninger ikke ligge frit fremme på arbejdspladsen.
Adgang til fysiske lokaliteter skal sikres mod uvedkommendes adgang. Lokaler, hvor der opbevares personoplysninger, skal være aflåst, når ingen medarbejdere er til stede. Indret fx kontoret så uvedkommende ikke utilsigtet kan få kigge-adgang til skærmen. Hav opmærksomhed på at kolleger, brugere og besøgende ved kirken ikke utilsigtet kan få adgang til personoplysninger.
Menighedsrådet kan indføre fysiske foranstaltninger som
- Arbejdsmæssig adgang til lokaler, skabe mv., hvor der opbevares persondata
- Særskilt nøgle, koder og alarm for adgang til lokaliteter eller skabe, hvor der opbevares persondata
- Særlig opmærksomhed på besøgendes adgang til lokaliteter, hvor der opbevares persondata
- Kontorets indretning for at begrænse kigge-adgang til skærmen
- Bortskaffelse/makulering af fysiske dokumenter med persondata
Tekniske foranstaltninger
Vær opmærksom på, at Kirkeministeriet har ansvaret for sikkerheden på en Kirkenets PC og de systemer, som Kirkeministeriet stiller til rådighed. Når menighedsrådet anvender disse systemer fx DAP, GIAS, (OneDrive) mv., så er alle disse ting på plads, da menighedsrådet med jeres DAP-login har en sikret adgang.
Menighedsrådet har ansvaret for egne anskaffede pc’er og systemer i kirken fx til kirketjeneren eller graveren. Dvs. menighedsrådet er ansvarlig for antivirusprogram, adgangskoder mv.
Menighedsrådet kan indføre tekniske foranstaltninger som fx
- Arbejdsbetinget adgang til pc, tablets mv.
- Alene adgang til arbejdsstationer med individuelt brugernavn og adgangskode
- Krav om at adgangskode er minimum X antal tegn (Adgangskode antal tegn/indeholde store, små bogstaver, tal, specialtegn, udskiftningsinterval)
- Brugeren skal logge af eller låse sin it-arbejdsstation hver gang den forlades
- Automatisk timet log ud ved inaktivitet
- Der foretages kontrol med afviste adgangsforsøg, låsning efter x antal fejlslagne
- Der er installeret antivirusprogram – som også kan lave løbende automatisk viruscheck
- Al forsendelse og opbevaring sker krypteret
- Der benyttes VPN, kryptering eller lign. ved hjemmearbejde
- Mobilt udstyr skal være sikret med PIN- eller adgangskode
- Gæstenetværk så kun medarbejdere mv. anvender kirkens interne netværk
Organisatoriske foranstaltninger
Organisatoriske foranstaltninger dækker over instruktionen og bevidstheden hos medarbejdere, frivillige og menighedsrådsmedlemmer om sikker behandling af persondata.
Menighedsrådet kan indføre organisatoriske foranstaltninger som fx
- Formålsbeskrivelse og beskrivelse af hvilke oplysninger, der behandles
- Uddannelse/instruktion af medarbejdere/andre tilknyttede om opbevaring, sikkerhed, fortrolighed og omgang med data
- Forholdsregler, kommunikationsveje og -frister samt reaktion ved sikkerhedsbrud
- Egenkontrol af ovenstående
- Tilslutning til ”Adfærdskodeks for menighedsråds behandling af personoplysninger som led i sognepleje”.