Dansk Håndbold Forbunds sikkerhedspolitik i forbindelse med personaleadministration

Som led i vores personaleadministration behandler DHF oplysninger om vores medarbejdere. Det sker under overholdelse af databeskyttelsesreglerne, herunder kravene om datasikkerhed. 

Helt overordnet betyder det, at DHF drager omsorg for, at alle personoplysninger i personaleadministrationen er beskyttet, så ingen oplysninger tilintetgøres, fortabes eller forringes. Samtidig drager virksomheden omsorg for, at ingen oplysninger kommer til uvedkommendes kendskab, misbruges eller behandles i strid med reglerne.

Alle medarbejdere, der håndterer oplysninger om kolleger, har pligt til at overholde følgende regler:

1. Adgangen til oplysninger om medarbejderne begrænses til så få personer som muligt. Det er således kun personer, der har et sagligt behov for det, der har adgang til oplysningerne.
2. De medarbejdere, der håndterer kollegers personoplysninger, modtager instruktion og oplæring i, hvordan de skal håndtere og beskytte oplysningerne, og hvad oplysningerne må bruges til. De har pligt til at følge disse instrukser og deltage i oplæringen.
3. Personoplysninger, der findes i papirform, fx i kartoteker og ringbind, skal opbevares aflåst, når de ikke er i brug. Når oplysningerne skal smides ud, skal de makuleres.
4. DHF registrerer, hvis nogen forgæves har forsøgt at få adgang til virksomhedens IT-systemer med følsomme personoplysninger. Hvis der registreres tre på hinanden følgende forsøg på adgang, blokerer vi for yderligere forsøg.
   
5. Personaleoplysninger, der er lagret på en USB-nøgle, skal beskyttes på en hensigtsmæssig måde. Du skal derfor anvende USB-nøgler med adgangskode og kryptering eller opbevare USB-nøgler i aflåst skuffe eller skab. Tilsvarende gælder andre bærbare datamedier, der indeholder personoplysninger.
6. Du skal låse computeren, når du forlader den.
7. Du skal slukke din computer, når du går hjem.
8. Der skal være lås på alle mobiltelefoner og bærbare enheder, der synkroniserer mail og kalender.
9. Når dataudstyr, der indeholder personoplysninger, sendes til reparation eller service, og når datamedier kasseres, skal der træffes fornødne foranstaltninger, så personoplysningerne ikke kommer til uvedkommendes kendskab. Det indebærer blandt andet, at datamediet i videst muligt omfang renses for oplysninger, og at der i fornødent omfang tages sikkerhedskopi. Tilsvarende gælder, hvis dataudstyr stilles til rådighed for en anden medarbejder.
10. Når vi bruger en ekstern databehandler til at håndtere persondata, indgår DHF en skriftlig databehandleraftale med den eksterne databehandler, der sikrer, at gældende regler bliver overholdt. Det gælder for eksempel, hvis vi anvender et eksternt dokumentarkiv, eksternt lønbureau eller rekrutteringssystem på internettet.
    
11. Hvis der sker et sikkerhedsbrud, som kræver anmeldelse til Datatilsynet, skal denne anmeldelse ske senest 72 timer, efter at sikkerhedsbruddet er kendt. Der skal ikke ske anmeldelse, hvis sikkerhedsbruddet, hvis det er usandsynligt, at sikkerhedsbruddet har indebåret en risiko for en medarbejders rettigheder. DHF orienterer som udgangspunkt også en medarbejder, hvis et sikkerhedsbrud indebærer høj risiko for medarbejderens rettigheder. DHF sikrer fornøden dokumentation for alle brud på datasikkerheden.

          Sker der et sikkerhedsbrud, skal du derfor straks kontakte IT chefen, IT projektlederen eller økonomichefen, så DHF kan foretage en vurdering af sikkerhedsbruddets karakter og iagttage eventuelle forpligtelser efter databeskyttelsesreglerne.

12. Når en medarbejder fratræder DHF så opbevares data såvel fysisk som elektronisk i overensstemmelse med SKAT’s regler (pt. løbende år plus 5 år), hvorefter at alle data slettes og fysiske data makuleres.