1. Kategorisér mails i mapper efter samarbejdspartner/modtager eller sletningstidspunkt, da det gør oprydningen nemmere

2. Slette mails når de ikke længere har formål (Opbevaringsbegrænsning)

SVAR: Allergier og politisk overbevisning er personfølsomme data

FUN FACT:
Personoplysninger kan for eksempel være personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er "personhenførbar".

• Personoplysninger (ikke-følsomme oplysninger)
  Fx navn
• Særlige kategorier af personoplysninger (følsomme oplysninger)
  Allergier, politisk overbevisning og helbredsinfo!
• Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
  
  
• Fortrolige oplysninger er en særlig kategori af oplysninger. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven. Fx ved krav om kryptering.

JA, MEN

Artikel 17 – Retten til sletning ("retten til at blive glemt") giver personer ret til at få deres personoplysninger slettet uden unødig forsinkelse, hvis:

Oplysningerne ikke længere er nødvendige, hvis samtykke trækkes tilbage, eller hvis oplysningerne er behandlet ulovligt. Offentliggjorte oplysninger skal også fjernes af tredjeparter, hvis det er muligt. Dog gælder retten ikke, hvis oplysningerne er nødvendige for ytringsfrihed, lovkrav, samfundsinteresser, folkesundhed eller forskning.

FUN FACT: Vi kan gøre vores for at slette SoMe indhold, men da vi ikke styrer videredeling af indholdet, er der en naturlig grænse for hvad vi kan gøre. Etik og samtykke er derfor vigtigt på forkant!

SVAR: Uden unødig forsinkelse og 30 dage fra modtagelse af anmodningen.
 
Få derfor gerne fat i Amalie, så hun har lidt tid til at udføre det :-)

FUN FACT: Indsigtsretten er fundamental i GDPR. De 30 dage er en maksimumfrist - vi bør svare hurtigere hvis muligt.
Hvis det er meget kompliceret at finde alle oplysningerne frem, har vi dog op til 3 måneder. 

SVAR: Brug sikker fil-deling eller krypteret email, send aldrig via almindelig email

FUN FACT:

• Almindelig mail (uden kryptering):
  Det svarer til at skrive et brev på et åbent postkort og sende det med posten. Alle, der håndterer postkortet undervejs – postbud og uvedkommende – kan læse, hvad der står skrevet.

• Mail med TLS 1.2/1.3 kryptering (Outlook default):
  Dette er som at sende dit brev i en konvolut. Under transporten er brevet skjult for nysgerrige blikke. Men når brevet når frem til postkontoret, bliver det lagt i en åben bakke, hvor alle i posthuset potentielt kan åbne og kigge i det. Beskyttelsen gælder altså kun under selve transporten. TLS 1.2 er som en tynd papirkuvert, der lettere kan åbnes og lukkes igen, mens TLS 1.3 er en stærkere kuvert med lim, men stadig kun en midlertidig beskyttelse.

• End-to-End tunnelkrypteret mail (hængelåsen):
  Dette er som at låse brevet i en solid stålboks med en nøgle, som kun modtageren har. Selv postbuddet kan ikke åbne boksen, og ingen undervejs kan se, hvad der er indeni. Først når boksen når frem til modtageren, kan de låse den op og læse brevet. Hele rejsen fra afsender til modtager er 100 % beskyttet.
  
  

  EKSTRA: Både Outlook on the web og Outlook desktop appen understøtter som minimum TLS 1.2, men vil benytte TLS 1.3, hvis modtagerens mailserver understøtter det. Det er, som vi tidligere har drøftet, kun selve transporten af mail, der er krypteret. En mail vil således ikke være krypteret når mailen er modtaget.

  Man kan benytte krypteringen fra Oulook klienten (desktop + web) til at sikre, at en mail forbliver krypteret - også efter modtagelsen. Der er i øvrigt ikke væsentlige forskelle i sikkerheden i online og desktop versionen af Outlook. Det vil sige, at når man sender en krypteret mail, så vil andre Microsoft 365 brugere kunne tilgå mailen uden engangskode. Brugere på andre mailsystemer vil enten skulle logge ind med deres egen login oplysninger (gælder for eksempelvis gmail og Yahoo), mens andre vil modtage en engangskode som de skal logge ind med. Med denne portal løsning sikrer Microsoft, at kun de rette modtagere kan tilgå krypterede mails sendt fra Microsoft.

1. Computeren skal lukkes, og skærme skal slukkes, når man forlader skrivebordet.

2. Emails med personfølsomme oplysninger skal enkrypteres.

3. Printet papir med personoplysninger skal hentes med det samme.

SVAR: F.eks. CPR-numre (gyldigt lovgrundlag til behandling og kryptering). Helbredsoplysninger skal krypteres og kun tilgås af relevant personale.

FUN FACT:
"Need to know"-princippet er centralt i GDPR. Selv inden for organisationen må kun medarbejdere med arbejdsbetinget behov have adgang til følsomme oplysninger. Dette beskytter både borgeren og medarbejderen.

Facebook

Husk GDPR, så undgår vi skandalerne ;-)

SVAR: Dato, hvem, hvad der er givet samtykke til, hvordan det er givet, formål, mulighed for tilbagetrækning

FUN FACT: Bevisbyrden for gyldigt samtykke ligger altid hos os som organisation (det er sværere at bevise mundtligt samtykke). God dokumentation beskytter både borger og organisation og gør det lettere at respektere tilbagetrækning.

SVAR: 

1) Afbryd netværk først! og sluk PC 

2) Informer IT-ansvarlig/ledelse/GDPR ansvarlig (få hjælp til køre antivirus og skifte koder mv) 

3) Dokumenter hændelsen eller få hjælp til det (skal typisk ske indenfor 72 timer)

• LÆRINGSPOINT: Ved sikkerhedsbrud er tiden kritisk. Hurtig handling kan begrænse skaden, og god dokumentation er afgørende for både håndtering og læring. Men lad også være med at panikke - det hjælper ikke, træk vejret :-)

SVAR: Husk at hente print, lås følsomme dokumenter inde, log af systemer. (Ved frokost vend personoplysninger "face-down")

FUN FACT:
Datasikkerhed handler meget om daglige rutiner. Et rent skrivebord og sikre log-offs er simple men effektive sikkerhedstiltag.
Genvej: command-alt-⇧

SVAR: Emailen indeholder nu følsomme oplysninger og skal evt. journaliseres korrekt (aldrig i indbakken). Da den er sendt ukrypteret, skal det vurderes om det kræver svar skriftligt eller om opkald/senere samtale kan løse det (bedst). Hvis der skal svares skriftligt, skal man forsøge at slette den følsomme besked først, og derefter svare i en ny krypteret mail eller fx kortfattet "Jeg vil meget gerne vende det mundtligt på.." og udelade alt følsomt. 

LÆRINGSPOINT: Følsomme oplysninger kan "gemme sig" mange steder. Når borgere selv sender følsomme oplysninger, har vi stadig ansvar for at behandle dem korrekt - det er vores ansvar. Email-systemet er sjældent et sikkert sted at opbevare sådan information.

SVAR: Hændelse der fører til utilsigtet adgang til eller tab af persondata

FUN FACT: Et databrud behøver ikke være et hackerangreb. Selv små hændelser som en fejlsendt email kan være et databrud. Det vigtige er at vurdere indholdet og risikoen for de berørte personer.

SVAR: Kræver fuldmagt eller værgemål, verificer identitet og ret til indsigt

FUN FACT: Databeskyttelse gælder også i forhold til pårørende. Vi skal balancere mellem at hjælpe pårørende og beskytte borgerens privatliv, især ved følsomme oplysninger.

Personfølsomme data