1.0.  PERSONADATAPOLITIK FOR BYG MED DESIGN

  • 1.1.  Denne persondatapolitik har to formål, dels

at tjene som et praktisk instrument i Byg med Designs’ arbejde med beskyttelsen af persondata, og

at tjene som skriftligt dokumentation for indsatsen med at overholde Persondataforordningen.

  1. 1.2.  Persondatapolitikken er udformet i sammenhæng med overordnede strategier, vær- dier og visioner. Politikken er derfor en integreret del af, hvordan virksomheden ar- bejder. Nærværende er udfærdiget på vegne af Byg med Designs virksomhedsejer Carsten Christensen (herefter Carsten Christensen).
  2. 1.3.  Den overordnede persondatapolitik gennemgås og opdateres årligt af Carsten Chri- stensen. Såfremt Byg med Design ansætter medarbejdere, vil disse blive gjort be- kendt med persondatapolitikken. Til sikring heraf, bekræfter medarbejdere ved sig- nering at være bekendte med indholdet. Dokumentation herfor vil blive opbevaret sammen med ansættelseskontrakten.
  3. 1.4.  I tilknytning til persondatapolitikken har Byg med Design udarbejdet en IT- sikkerhedspolitik og række yderligere dokumenter til opfyldelse af dokumentations- kravet i persondataforordningen.
  1. 2.0.  DEFINITIONER OG BEGREBER
  2. 2.1.  Byg med Design behandler persondata i forbindelse med følgende; 1. Tilbudsgivning,2. Køb og salgs af ydelser,
    3. Kontrakt- og leveringsforpligtelser,
    4. Ansøgninger ved relevante myndigheder. 5. [øvrige]

2

2.2. Persondataforordningen er den lovgivning, som pr. 25. maj 2018 regulerer behand- lingen af persondata og som erstatter den nationale Persondatalov fra 2000. I det følgende er kernebegreber fra lovgivningen defineret for at lette forståelsen af per- sondatapolitikken.

Personoplysninger; er enhver oplysning som identificerer eller gør en fysisk person identificerbar, fx Navn, adresse, telefonnummer, billede, nummerplade, cpr-nummer eller lignende. Oplysninger om enkeltmandsfirmaer er også personoplysninger.

Følsomme personoplysninger; kan fx være helbredsoplysninger, fagforeningstil- hørsforhold, race, etnicitet, politisk overbevisning, oplysninger om strafbare forhold mv.

De registrerede; alle personer, hvis oplysninger er registrerede fx kunder, leveran- dører og entreprenører [indsæt yderligere].

Dataansvarlig; dén, der beslutter formål, omfang og metoder til behandling af per- sondata, i dette tilfælde Byg med Design.

Databehandler; Den, der behandler data på vegne af den dataansvarlige, fx et fir- ma, som håndterer løn eller en cloud-tjenester. [indsæt yderligere]

  1. 3.0.  ANSVARET
  2. 3.1.  Persondatapolitikken gælder for al behandling af personoplysninger i Byg med De- sign ApS.
  3. 3.2.  Overholdelse af persondatapolitikken dokumenteres skriftlig og ved opbevares i mappen ”Persondata – GDPR” på [INDSÆT DREVNAVN]. Hvis en kontrol mod for- ventning viser, at der har været episoder, hvor persondatapolitikken ikke er blevet overholdt, vil Carsten Christensen igangsætte afhjælpning hurtigst muligt.
  4. 3.3.  Byg med Design har på tidspunktet for udarbejdelse af politikken ingen ansatte medarbejdere, foruden virksomhedens ejer Carsten Christensen.
  5. 3.4.  I pkt. 4.0 – 22.0 er hvert element i politikkens formål beskrevet. Hertil er Byg med Designs procedure og kontrol beskrevet.

3

  1. 4.0.  BEHANDLINGSGRUNDLAG OG HJEMMEL
  2. 4.1.  Formål:
    At sikre der foreligger et lovligt behandlingsgrundlag for behandling af persondata.
  3. 4.2.  Procedure:Før enhver databehandling påbegyndes, foretages der altid være afklaring af den lovlige hjemmel. Persondataforordningen angiver seks gyldige grunde til behandling; 1) Samtykke, 2) opfyldelse af kontrakt, 3) retlig forpligtelse, 4) vitale interesser, 5) opgaver i samfundets interesse og 6) endelig interesseafvejning.Som alt overvejende hovedregel vil behandlingsgrundlaget for Byg med Design være opfyldelse af kontrakt.Hvis der ikke findes et lovlig grundlag, eller kan dette ikke identificeres, igangsættes behandlingen ikke.
  4. 4.3.  Såfremt der behandles følsomme oplysninger indhentes der et samtykke. Eventuelle underskrevne og accepterede samtykkeerklæringer opbevares på [DREV-NAVN] i mappen ”Persondata – GDPR”.Der vil i ingen tilfælde blive behandlet personoplysninger om børn under 16 år.
  5. 4.4.  Kontrol:Byg med Design gennemgår alle behandlingsaktiviteter årligt, hvorved den lovlige hjemmel revurderes samtidig. Det lovlige grundlag for behandlingen dokumenteres sammen med den pågældende proces i fortegnelsen over behandlingsaktiviteter.Såfremt der udarbejdes ansættelseskontrakter vil denne indeholde et afsnit om sam- tykke til at behandle følsomme oplysninger.
  1. 5.0.  FORMÅLET MED BEHANDLING OG BRUG AF RELEVANT DATA
  2. 5.1.  FormålAt sikre indsamlede oplysninger anvendes til et klart formål og ikke omfatter mere, end hvad der kræves til opfyldelse af formålet med behandlingen.

4

  1. 5.2.  Procedure:Ved hver behandlingsaktivitet bliver det klart defineret hvilke personoplysninger, som er relevante til formålet. Der indsamles ikke flere oplysninger end nødvendigt for at understøtte formålet. Formålet med behandlingen af personoplysninger, samt hvilke typer personoplysninger, der behandles for hver behandlingsaktivitet er defi- neret i Byg med Designs ”fortegnelse over behandlingsaktiviteter”.Såfremt der indsamles flere oplysninger end nødvendigt i henhold til udfyldelse af kontrakten, udarbejdes der et særskilt samtykke hertil.
  2. 5.3.  Kontrol:Byg med Design gennemgår årligt behandlingsaktiviteterne, hvorved kategorier af indsamlede oplysninger sammenholdes med formålet. Dette sikrer, at oplysningerne stadig er nødvendige for formålet.Byg med Design vil månedligt udføre stikprøvekontrol for at tjekke, at der ikke er registeret flere oplysninger end hvad der er relevant. Hvis dette mod forventning er tilfældet, eftertjekkes det samtidig at der foreligger et samtykke fra den registrere- de.
  1. 6.0.  OPLYSNINGSPLIGT
  2. 6.1.  FormålAt sikre gennemsigtighed af behandling af personoplysninger, samt de registreredes viden om deres rettigheder.
  3. 6.2.  ProcedureVed en enhver ansættelse vil Byg med Design på letforståelig måde skriftligt infor- mere medarbejdere i ansættelseskontrakten om følgende:
    • Hvem der er dataansvarlig og kontaktoplysninger,
    • Formålet med databehandlingen,
    • Hjemmel for behandling, samt legitime interesser som forfølges af virksomhe- den,

5

  • Eventuelle andre modtagere af data, herunder overførsel til tredjelande,
  • Opbevaringsperiode for data,
  • Den registreredes rettigheder i forhold til data (indsigt, berigtigelse, sletning, begrænset behandling og dataportabilitet),
  • Retten til at tilbagekalde et eventuelt afgivet samtykke,
  • Retten til at klage til datatilsynet,
  • Pligten til at afgive oplysninger og konsekvenser ved ikke at gøre det,
  • Hvor oplysningerne er indhentet, hvis dette ikke er direkte fra den registrerede selv,
  • Omfanget af automatiske afgørelser, herunder profilering og logikken bag,Såfremt Byg med Design ønsker at behandle de modtagne oplysninger til et andet formål end det allerede oplyste, oplyser Byg med Design dette til den registrerede forinden den nye behandling igangsættes.Byg med Design har samtidig udarbejdet en tekst om ovenstående på firmaet hjemmeside, så fx kunder og samarbejdspartnere er bekendte med virksomhedens privatlivspolitik. Et link til teksten afgives altid elektronisk (fx pr. mail) til den regi- strerede ved første kontakt.

6.3. Kontrol:

Byg med Design kontrollerer med jævne mellemrum, at reglen om oplysningspligt overholdes. Når en henvendelse kommer direkte via mail/telefon, udsendes der en mail med link til oplysningerne. Den afsendte mail anses som dokumentation for overholdelse af oplysningspligten og gemmes. Carsten Christensen efterser mindst én gang månedligt at oplysningspligten er opfyldt i åbne sager.

  1. 7.0.  RETTEN TIL INDSIGT
  2. 7.1.  Formål
    At sikre den registrerede kan få indsigt i de oplysninger, som behandles.

6

7.2. Procedure

Ved enhver henvendelse fra den registrerede, skal Byg med Design uden unødigt ophold, og på en let forståelig måde give indsigt i de oplysninger, som er registreret om den pågældende, herunder:

  • Formålet med behandling af data,
  • Hvilke kategorier af oplysninger, som behandles,
  • Eventuelle andre modtagere af data, herunder overførsel til tredjelande,
  • Opbevaringsperiode for data,
  • Den registreredes rettigheder i forhold til data (indsigt, berigtigelse, sletning, begrænset behandling og dataportabilitet),
  • Retten til at klage til datatilsynet,
  • Hvor oplysningerne er indhentet, hvis dette ikke er direkte fra den registreredeselv, og
  • Omfanget af automatiske afgørelser, herunder profilering og logikken bag.Ved et ønske om indsigt er det oplyst, at Carsten Christensen kan kontaktes via e- mail eller på tlf. Oplysninger udleveres i papirform eller almindelige anvendt elektro- nisk form, baseret på hvilket format, den registrerede ønsker.Byg med Design sikrer altid, at dén, der meddeles oplysninger til, er rette person. Der udleveres kun oplysninger, når vedkommende har legitimeret sig, eller når der på anden måde er skabt sikkerhed for, at dén, der fremsætter en indsigtsbegæring, er identisk med dén person, som oplysningerne vedrører eller er i besiddelse af en fuldmagt fra denne.Telefoniske henvendelserVed telefoniske henvendelser sikres det ligeledes, at der kun gives oplysninger til rette registrerede. Det kan f.eks. være nødvendigt at stille kontrolspørgsmål ved at spørge efter adresse og CPR-nr., eller foretage en kontrolopringning til telefonnum-

7

meret. Hvis der ikke gives nødvendig sikkerhed, må oplysningerne i stedet sendes pr. post til den adresse, der er registeret på vedkommende.

Henvendelser via e-mail eller brev

Hvis navnet og adressen i e-mailen eller brevet er identiske med de oplysninger, som i forvejen fremgår af systemet, kan oplysningerne normalt sendes til den regi- strerede. Er dette ikke tilfældet, undersøges forholdet nærmere.

Indsigtsbegæring via fuldmagt

Hvis den registrerede har givet en anden fuldmagt til at få indsigt i sine oplysninger, vurderes det om fuldmagten er specifik eller generel. Er der tale om en begæring fra en advokat, er det ikke i alle tilfælde nødvendigt at efterspørge en fuldmagt.

Hvis der opstår tvivl om, hvorvidt fuldmagten er tilstrækkelig, vil Byg med Design rådføre sig med egen advokat.

7.3. Kontrol:

Henvendelse vedrørende indsigt gennemgås hver måned for at sikre, at henvendel- ser er imødekommet uden unødigt ophold.

  1. 8.0.  RETTEN TIL BERIGTIGELSE
  2. 8.1.  Formål
    At sikre den registrerede kan få berigtiget registrerede oplysninger.
  3. 8.2.  ProcedureVed enhver henvendelse fra den registrerede skal Byg med Design berigtige og rette eventuelle forkerte eller vildledende oplysninger om den pågældende.
  4. 8.3.  KontrolByg med Design er ansvarlig for at korrigere oplysningerne. Den registreredes iden- titet bliver sikret i henhold til pkt. 7.2 før oplysninger rettes.

8

Henvendelser herom gennemgås månedligt, hvorefter det samtidig eftertjekkes at oplysningerne allerede er tilrettet i systemet.

  1. 9.0.  SLETTEPLIGT OG RET
  2. 9.1.  FormålAt sikre alle oplysningerne slettes, når de ikke længere er nødvendige til formålet med behandlingen samt for at kunne imødekomme den registreredes ret til sletning.
  3. 9.2.  ProcedureI ”fortegnelsen over behandlingsaktiviteter” er der taget stilling til opbevaringsperio- der for hver behandlingsaktivitet.Personoplysninger opbevares centralt på dertil indrettede drev og systemer for at mindske spredning af personoplysninger i organisationen og effektivisere slettepro- cessen. Er der behov for midlertidigt at have personoplysninger liggende lokalt på maskiner eller skriveborde, fjernes disse så snart arbejdet er udført.Byg med Design vil i alle tilfælde sikre sig, at oplysninger også slettes hos eventuelle databehandlere.Oplysninger slettes løbendeE-mails indeholdende personoplysninger slettes løbende, når de ikke længere er nødvendige til formålet med behandlingen, eller hvis disse er arkiveret andre steder.

    Eventuelle fysiske dokumenter indeholdende personoplysninger makuleres løbende, når disse ikke længere er nødvendige til formålet med behandlingen.

    Før oplysninger slettes, sikres det, at oplysningerne ikke er nødvendige at opbevare i henhold til andre lovgivninger, herunder bl.a. bogføringsloven.

    Retten til at blive glemt

    Såfremt Byg med Design modtager en anmodning med et ønske om at blive slettet sker sletningen uden unødigt ophold. Forinden sletning sikres det, at formålet med behandlingen af oplysningerne ikke længere er til stede. Det sikres herved, at den registrerede ikke har nogle udeståender, før sletningen foretages. Såfremt en an-

9

modning om sletning ikke kan imødekommes helt eller delvist, orienteres den regi- strerede om årsagen. Det kan fx være i de tilfælde, hvor det ikke er muligt at ser- vicere kunden uden personoplysningerne. Alle oplysninger der er indsamlet på bag- grund af et samtykke kan til enhver tid slettes. Den registreredes identitet bliver sik- ret før oplysninger slettes.

Sletning i backup

I henhold til virksomhedens backup-strategi bliver backups overskrevet hver [indsæt periode fx uge], så alle sletninger i systemet bliver overskrevet i backuppen ugent- ligt.

Hvis der bliver behov for at indlæse en backup, sikres det, at oplysninger, der er slettet i live-miljøet bliver slettet igen efter at backuppen indlæses. Dette gøres ved manuel sammenligning.

9.3. Kontrol:
Opbevaringsperioden på behandlingsaktiviteter revurderes årligt.
Personoplysninger på kunder slettes når de ikke længere er nødvendige til formålet.

Eventuelle modtagne ansøgninger, hvor der ikke er afgivet samtykke til at gemme, er placeret centralt og gennemgås månedligt med henblik på sletning, når den an- søgte stilling er besat.

Byg med Design kontrollerer månedligt, om de centrale sletninger er gennemført.

  1. 10.0.  RETTEN TIL BEGRÆNSET BEHANDLING
  2. 10.1.  Formål
    At begrænse behandlingen af personoplysninger til opbevaring.
  3. 10.2.  ProcedureSåfremt den registrerede ønsker at begrænse behandlingen af personoplysninger, er denne orienteret om hvem der kan rettes henvendelse til. Behandlingen af personop- lysningerne begrænses til blot at opbevare oplysningerne indtil forholdet som er

10

grundlag for den begrænsede behandling løses. Den registreredes identitet bliver sikret før behandlingen begrænses.

10.3. Kontrol:

Henvendelser, som resulterer i begrænset behandling gennemgås løbende for at ef- terkontrollerer, at virksomheden har begrænset behandlingen til blot opbevaring og at dette blev gjort indenfor rimelig tid.

  1. 11.0.  RETTEN TIL DATAPORTABILITET
  2. 11.1.  FormålAt sikre personoplysninger som behandles automatisk kan udleveres eller overføres i et struktureret, almindeligt anvendt og maskinlæsbart format.
  3. 11.2.  ProcedureSåfremt den registrerede ønsker at behandlingen af vedkommendes oplysninger be- grænses, er denne oplyst om hvortil der kan rettes henvendelse. Behandlingen af personoplysningerne begrænses til blot at opbevare oplysningerne indtil forholdet som er grundlag for den begrænsede behandling løses. Den registreredes identitet bliver sikret før behandlingen begrænses.
  4. 11.3.  KontrolHenvendelser, som resulterede i begrænset behandling gennemgås løbende for at kontrollere, at behandlingen begrænses til blot opbevaring og at det blev gjort in- denfor rimelig tid.
  1. 12.0.  RETTEN TIL INDSIGELSE
  2. 12.1.  FormålAt imødekomme den registreredes ret til indsigelse mod profilering og direkte mar- kedsføring.
  3. 12.2.  Procedure

11

Når den registrerede oplyser, at denne ikke ønsker at vedkommendes oplysninger benyttes til profilering eller direkte markedsføring, skal der straks rettes henvendelse til Carsten Christensen, som derefter sørger for, at behandlingen af oplysningerne i forbindelse med profilering og direkte markedsføring stoppes. Den registreredes identitet bliver sikret før behandlingen stoppes.

Det er sikret at der er mulighed for menneskeligt indgreb i automatiske behandlinger af personoplysninger, såfremt en registreret ønsker dette.

12.3. Kontrol

Henvendelser om indsigelse gennemgås løbende for at kontrollere, at virksomheden ikke længere benytter den registreredes oplysninger til profilering.

  1. 13.0.  DATABEHANDLERAFTALER
  2. 13.1.  FormålAt sikre etablering af databehandleraftaler med juridiske enheder, som behandler personoplysninger på vegne af Byg med Design.
  3. 13.2.  ProcedureHver gang der indgås en ny aftale med en samarbejdspartner, vurderes det, om ydelsen involverer behandling af personoplysninger på vegne af Byg med Design. Hvis dette er tilfældet, indgås der en databehandleraftale.Der udføres løbende kontrol med databehandlerne ved indhentning af erklæringer om at databehandleraftalen overholdes.Databehandleraftalerne gemmes centralt på [DREVNAVN] i mappen ”Persondata – GDPR”. Hvis Byg med Design i det daglige bliver opmærksomme på fejl eller mangler i databehandleres håndtering af personoplysninger, undersøge problemet nærmere og der foretages den nødvendige opfølgning.
  4. 13.3.  KontrolHvert halve år gennemgås listen over databehandlere og matches med den tilhøren- de databehandleraftale. Det vurderes herefter, om den gældende databehandlerafta-

12

le stadig er tilstrækkelig. Byg med Design vurderer samtidig om det er nødvendigt at indhente en revisorerklæring fra databehandlerne vedrørende behandling af person- data. Såfremt persondata mod forventning håndteres fejlagtigt, udarbejdes en kon- trolrapport som opbevares af virksomheden.

  1. 14.0.  DOKUMENTATION
  2. 14.1.  FormålAt sikre dokumentation for imødekommelse af persondataforordningens krav om for- tegnelse over behandlingsaktiviteter og konsekvensanalyse.
  3. 14.2.  ProcedureByg med Design har etableret en fortegnelse over behandlingsaktiviteter. Fortegnel- sen opdateres løbende, når der sker ændringer i virksomhedens behandlingsaktivite- ter.For hver behandlingsaktivitet er der foretaget en risikovurdering baseret på sandsyn- ligheden for at personoplysninger mister fortrolighed, integritet eller tilgængelighed, samt hvilken konsekvens det har for den registrerede. Risikovurderingen revurderes én gang årligt og for højrisiko-områder udarbejdes der en handlingsplan for nedsæt- telse af risiko. Hvis risikoen ikke kan nedsættes konsulteres Datatilsynet.
  4. 14.3.  KontrolBehandlingsaktiviteterne gennemgås årligt med henblik på at vurdere, om behand- lingsaktiviteter er af høj risiko og dermed, om der skal etableres en konsekvensana- lyse og handlingsplan for at nedsætte risikoen. Hvis det ikke er muligt at nedsætte risikoen skal Datatilsynet konsulteres før behandlingen igangsættes.Risikovurdering og konsekvensanalyse opdateres hver gang der er nye planlagte be- handlingsaktiviteter eller ændringer til eksisterende behandlingsaktiviteter.
  1. 15.0.  DATASIKKERHED
  2. 15.1.  Formål

13

At sikre etablering af den fornødne organisatoriske og tekniske foranstaltninger mod at personoplysninger kommer til uvedkommendes kendskab eller går tabt.

  1. 15.2.  Procedure
    Begrænsning af adgangen til elektronisk persondata:Alle systemer/drev, der indeholder personoplysninger er omfattet af begrænset ad- gang, således at det kun er relevante aktører og medarbejdere, der har behov for adgangen til at udføre deres arbejde, der har adgang til disse.Mails med personoplysninger:Mails med personoplysninger er begrænset til et absolut minimum. Følsomme per- sonoplysninger der skal sendes via mail, skal sendes krypteret.
  2. 15.3.  KontrolHvert kvartal gennemgår Byg med Design en liste over eventuelle medarbejdere med adgang til systemer og mapper med personoplysninger med henblik på at veri- ficere, at kun de nødvendige medarbejdere har adgang til systemer og mapper inde- holdende personoplysninger.
  1. 16.0.  FYSISK SIKKERHED
  2. 16.1.  FormålAt sikre forholdsregler mod uvedkommendes adgang til lokaler, hvor der foregår be- handling af personoplysninger.
  3. 16.2.  ProcedureOmråder med adgang til personoplysninger sikres således, at uvedkommende ikke kan få adgang til disse. Det sker ved at opbevare personoplysninger i aflåst skab, når lokalet ikke er under opsyn. Løbende, afhængig af mængden af bilag, kan per- sonoplysninger fra aflåst skab arkiveres i et aflåst arkiveringsrum.PC låses når arbejdsstationen forlades, også kortvarigt.

14

Byg med Design har vedtaget en ”clean desk” politik, som indebærer at alle doku- menter fjernes fra skrivebordet når arbejdspladsen forlades. Derudover er der ved- taget en ”front down” politik, som indebærer at dokumenter med personoplysninger vendes med den blanke side op eller på anden måde afdækkes, når dokumenter ef- terlades på arbejdsstation.

16.3. Kontrol – eksempel

I forbindelse med aflæggelse af årsregnskab sikres at eventuelle dokumenter max er 5 år gamle. Ældre dokumenter destrueres.

Der eftertjekkes jævnligt at aflåste skabe med personoplysninger faktisk er aflåste, ligesom det efterses at PC låses, når arbejdsstationen forlades.

  1. 17.0.  GÆSTER
  2. 17.1.  Formål
    At sikre håndtering af gæster ved Byg med Design.
  3. 17.2.  ProcedureGæster færdes aldrig alene. Såfremt der er gæster som opholder sig i lokaler, hvor der håndteres personoplysninger, udfyldes og underskrives en tavshedserklæring, som opbevares i mappen ”Persondata – GDPR” og opbevares i den periode virksom- heden finder det nødvendigt.
  4. 17.3.  Kontrol – eksempelHalvårligt udføres en kontrol af eventuelle besøg i lokaler med håndtering af person- oplysninger mod eventuelle gemte tavshedserklæringer.
  1. 18.0.  PRINT OG DOKUMENTER MED PERSONOPLYSNINGER
  2. 18.1.  Formål
    At sikre personlige oplysninger ikke ligger frit tilgængeligt i papirform.
  3. 18.2.  Procedure

15

Print med personoplysninger må ikke efterlades i printer.

Papirdokumenter, der indeholder personoplysninger, må ikke opbevares uden opsyn.

  1. 18.3.  Alle henvendelser (breve i papirformat, print af e-mails, papirlapper m.v.), som in- deholder personoplysninger skal efter endt brug smides ud i en særlig aflåst papir- container, som står i kopirummet eller makuleres. Indholdet af papircontainer bliver makuleret, når containeren er fyldt.
  2. 18.4.  Kontrol – eksempelVirksomheden er løbende opmærksomme på, at der ikke ligger print med personop- lysninger i printer, eller at der ligger dokumenter og papir ved arbejdsstationer inde- holdende personoplysninger.
  1. 19.0.  AWARENESS
  2. 19.1.  FormålAt sikre og demonstrere, at Byg med Designs’ medarbejdere er bekendte med reg- lerne for behandling af persondata.
  3. 19.2.  Procedure

19.2.1. Alle medarbejdere skal i forbindelse med ansættelse gøres bekendte med regler for behandling af personoplysninger og IT-sikkerhed.

19.3. Kontrol – eksempel

I forbindelse med ansættelsen skriver medarbejderen under på, at vedkommende har læst og forstået persondatainstruksen.

  1. 20.0.  NOTIFIKATION VED BRUD
  2. 20.1.  FormålAt sikre notifikation til Datatilsynet, og under visse omstændigheder, den registrere- de, bliver ved brud på datasikkerheden notificeret om muligt indenfor 72 timer efter brud er konstateret.

16

  1. 20.2.  ProcedureBrud på datasikkerheden er defineret som en hændelse, som resulterer i, at der er en risiko for, at personoplysninger er blevet udsat for uautoriseret adgang eller er gået tabt.Hvis der opdages brud på datasikkerheden, vil Byg med Design indenfor 48 timer, om muligt, få overblik over bruddet. Der indsamles oplysninger omkring hændelsen, berørte datakategorier, antal lækkede data records, sandsynlige konsekvenser og hvilke tiltag, der er iværksat for at imødegå bruddet, som anmeldes til datatilsynet indenfor 72 timer via deres hjemmeside.Hvis der konstateres brud der medfører en risiko for, at personoplysninger er blevet udsat for uautoriseret adgang eller er gået tabt anmeldes dette til Datatilsynet.Alle brud på sikkerheden noteres i Databrudsloggen.Hvis sikkerhedsbruddet er af sådan karakter, at det er nødvendigt at informere de registrerede, gøres dette straks.

    Hvis virksomheden ikke har fornyet kontaktoplysningerne på de registrerede sker orienteringen offentligt via datatilsynets hjemmeside.

  2. 20.3.  Kontrol – eksempelDet kontrolleres jævnligt, at situationer, som bør anmeldes til datatilsynet, også bli- ver anmeldt indenfor 72 timer.
  1. 21.0.  PRIVACY BY DESIGN OG PRIVACY BY DEFAULT
  2. 21.1.  Formål
    At imødekomme Persondataforordningens krav om Privacy by Design and Default.
  3. 21.2.  ProcedureVed udvikling eller anskaffelse af nye it-systemer er Byg med Design opmærksom på, at systemerne er sikre og at de understøtter opdeling af adgangsrettigheder, så- ledes at personoplysninger kan beskyttes mod uautoriseret adgang og tab.

17

Uautoriserede tjenester til behandling af personoplysninger, som ikke er godkendt, må ikke anvendes, herunder bl.a. private mail-applikationer, egen cloudløsning eller programmer, som kan downloades fra nettet til behandling af personoplysninger.

21.3. Kontrol – eksempel

Byg med Design foretager halvårligt en revision af de eksisterende systemer og af- søger netværket for brug af uautoriserede programmer.

  1. 22.0.  DPO
  2. 22.1.  Formål
    At vurdere behovet for ”Data Protection Officer” (DPO).
  3. 22.2.  ProcedureDet vurderes årligt, hvorvidt virksomheden har behov for en DPO, baseret på EU Persondataforordningens kriterier for krav om DPO. Vurderingen er dokumenteret i ”Fravalg af Data Protection Officer”.