Spørgsmål og svar om i-sikkerhed

Personhenførbare oplysninger er oplysninger, der kan kædes sammen med en specifik person.

Af disse arbejder vi med 3 typer:

Almindelige personoplysninger omfatter alle oplysninger, der ikke er klassificeret som følsomme personoplysninger. Mest almindeligt er navn, køn, alder, adresse og e-mailadresse. Derudover kan det være oplysninger om økonomi, skat, gæld, væsentlige sociale problemer, andre rent private forhold, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon.

Følsomme personoplysninger er etnisk baggrund (ikke nationalitet), politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsforhold, helbredsforhold, seksuel observans, biometriske data med henblik på entydig identifikation og genetiske data. Derudover bør straffedomme og lovovertrædelser også behandles som følsomme personoplysninger.

Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil endvidere ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven.

Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom.

Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. Oplysninger, der kan henføres til bestemte personer, og som ikke kan nægtes udleveret efter offentlighedsloven, vil ikke være af fortrolig karakter. Det gælder f.eks. oplysninger af rent objektiv karakter, såsom oplysninger om udstedelse af pas, kørekort, jagttegn osv.

Fortrolige oplysninger bør i sikkerhedsmæssig forstand behandles på samme måde som følsomme oplysninger.

Følsomme personoplysninger skal altid sendes sikkert. Det samme gælder fortrolige oplysninger, f.eks. cpr-nummeret. Der er ikke samme krav til ikke-fortrolige personoplysninger.

Interne modtagere

Det er sikkert at sende mails internt i kommunen. Dvs du kan sende sikkert fra og til følgende adresser:

• @viborg.dk
• @jobcenterviborg.dk
• @viborgskoler.dk
• @scvviborg.dk

Tjek altid, at du ikke sender cc til en ekstern, da det så ikke er afsendt sikkert.

Eksterne modtagere

Når du skal sende følsomme og fortrolige personoplysninger til eksterne modtagere, skal du anvende Send sikkert-knappen i mail-systemet eller en anden sikker metode i dit fagsystem.

Borgere

Det er altid god praksis at sende sikkert til borgere - uanset om det er følsomme eller almindelige personoplysninger.

 

 

Du må kun opbevare følsomme eller fortrolige personoplysninger - herunder cpr-nummer - i din indbakke, så længe du har behov for oplysningerne.

Journalisering af oplysninger

Hvis du har modtaget eller afsendt et dokument, som du har pligt til at journalisere, skal du ifølge offentlighedslovens § 15, stk. 2 snarest muligt efter modtagelse eller afsendelse journalisere dokumentet.

I det øjeblik dokumentet er journaliseret, har du ikke længere behov for at opbevare oplysningerne i din indbakke, og du skal derfor slette mailen. Dette gælder også for forvaltnings-, afdelings- og funktionspostkasser.

Slet også oplysninger i mappen "Slettet post"

Når du sletter en mail, bliver den lagt over i mappen "Slettet post". Derfor skal du også slette mailen fra denne mappe, således mailen er slettet permanent.

Følsomme personoplysninger på papir skal opbevares aflåst, når de ikke er i brug. Dette gælder både oplysninger om borgere og medarbejdere.

Makulering af dokumenter

Sørg for at anvende makulering eller en lignende foranstaltning, når dokumenter med følsomme personoplysninger skal smides ud for at sikre, at uvedkommende ikke kan få adgang til oplysningerne.

Anvend ikke almindelig skraldespand

Du må ikke anvende almindelig skraldespand til dokumenter med følsomme personoplysninger. På rådhuset skal du anvende de aflåste grønne containere opsat ved kopimaskinerne. Er du i tvivl om, hvad I gør lokalt, så spørg din leder.

 

 

Følsomme og fortrolige personoplysninger må ikke fremgå af en kalenderinvitation. Vi arbejder med åbenhed og videndeling i Viborg Kommune, hvilket betyder, at vi kan se hinandens kalenderoplysninger på tværs af direktørområderne. Derfor skal vi sikre, at vi ikke uforvarende kommer til at afsløre for meget om en borger.

Kalenderinvitationen må ikke give mulighed for at udlede følsomme eller fortrolige personoplysninger. Et eksempel kunne være: "Carl Thuborger møde i Misbrugscentret den..."

For at sikre ovenstående ikke er muligt, er der udarbejdet regel for kalenderinvitation indeholdende oplysninger om borgere. Denne regel er gældende for hele Viborg Kommune.

Regel for kalenderinvitation indeholdende oplysninger om borgere

Kalenderinvitationen må indeholde:

• Fornavn
• Fødselsdato (de første 6 cifre i personnummer)

Vær opmærksom på følgende:

• Reglen gælder både for emnet og beskrivelsen i kalenderinvitationen
• Vedhæftninger i kalenderinvitationen må ikke indeholde personoplysninger
• Der må anføres links i kalenderinvitationen til dokumenter i fagsystemer og Acadre, da adgangen til disse dokumenter er styret af brugerens rettigheder

Kan der af sammenhængen udledes følsomme/fortrolige oplysninger?

Selvom man kun skriver navn og fødselsdato, kan det alligevel være en overtrædelse af reglerne, fordi det er muligt ud af sammenhængen (f.eks. møde med sagsbehandler fra bestemt afdeling) at udlede følsomme/fortrolige oplysninger. I disse situationer må der kun angives fødselsdato i kalenderinvitationen.