Hypotek logo

IT OG SIKKERHEDSPOLITIK BESKYTTELSE AF PERSONDATA
(Intern)

  1. Definitioner
    1. Personoplysninger: Enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f. eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
    2. Følsomme personoplysninger: Personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
    3. Fortrolige oplysninger: Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor særlige beskyttelsesbehov kan have betydning ved anvendelsen af databeskyttelsesreglerne. Fortrolige oplysninger vil endvidere ofte være underlagt særregulering i anden lovgivning. Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven.
      1. Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab, jf. straffelovens § 152 sammenholdt med forvaltningslovens § 27. Følsomme personoplysninger vil utvivlsomt være fortrolige oplysninger. Omvendt er en fortrolig oplysning ikke altid følsom.
      2. Ikke-følsomme personoplysninger kan i visse situationer være fortrolige. Det gælder efter omstændighederne oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold. Det samme gælder oplysninger om interne familieforhold, herunder for oplysninger om for eksempel selvmordsforsøg og ulykkestilfælde. (kilde: Datatilsynet).
    4. Behandling: Enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f. eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
    5. Dataansvarlig: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger
    6. Databehandler: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
    7. Databeskyttelsesrådgiver: En person med ekspertise i databeskyttelsesret og -praksis, som bistår den dataansvarlige eller databehandleren med at overvåge den interne overholdelse af denne forordning.
    8. Modtager: En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives, uanset om det er en tredjemand eller ej.
    9. Tredjemand: En anden fysisk eller juridisk person, offentlig myndighed eller institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges, der er beføjet til at behandle personoplysninger.
    10. ”Samtykke” fra den registrerede: Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.
    11. Brud på persondatasikkerheden: Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
    12. Kryptering: Kryptering er en sikkerhedsforanstaltning, hvor indholdet af data eller kommunikation gøres ulæseligt ved at anvende en matematisk kode, der kræver en nøgle for at gøre indholdet læseligt igen. Data kan krypteres i mange forskellige situationer, eksempelvis kan en e-mail krypteres, en word-fil kan krypteres eller en hel computers harddisk kan krypteres. For en udvidet forklaring af behovet for kryptering ved transmission af personoplysninger, Side 3 af 14 henvises i til Datatilsynets vejledning om behandlingssikkerhed, samt Datatilsynets vejledning om transmission af personoplysninger via e-mail.
    13. Genetiske data: Personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person.
    14. Biometriske data: Personoplysninger, der som følge af specifik teknisk behandling vedrørende en fysisk persons fysiske, fysiologiske eller adfærdsmæssige karakteristika muliggør eller bekræfter en entydig identifikation af vedkommende, f. eks. ansigtsbillede eller fingeraftryksoplysninger.
    15. Helbredsoplysninger: Personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.
  2. Behandling af personoplysninger
    1. Denne politik er gældende for mit arbejde i følgende selskaber:
      • Hypoteket A/S, CVR-nr. 40 09 05 76, Herningvej 34, 4800 Nykøbing F
      • Sidecar ApS, CVR-nr. 41 04 67 67, Herningvej 34, 4800 Nykøbing F
      • Hypokredit A/S, CVR-nr. 42 19 46 54, Herningvej 34, 4800 Nykøbing F
      • Associated Management Services A/S, CVR-nr. 73 68 49 19, Løvvænget 3, 2960 Rungsted Kyst
      • HYPOFLEX

      tilsammen og hver for sig benævnt (”Selskabet”).
    2. Formålet med denne politik er at give et overblik over de procedurer og politikker, som Selskabet har i forbindelse med beskyttelse af persondata.
    3. Mine virksomheder er underlagt databeskyttelsesloven og GDPR, hvilket bl.a. betyder, at jeg skal opfylde en del krav. Mine forpligtelser er beskrevet nærmere nedenfor.
    4. Med henblik på at opfylde databeskyttelsesloven samt GDPR, er det væsentligt, at der alene indhentes nødvendige personoplysninger på såvel potentielle eller faktiske låntagere (pantebrevdebitorer), kautionister, investorer som samarbejdspartnere. Det betyder, at jeg i hvert enkelt tilfælde skal vurdere, hvorvidt det er nødvendigt for mine virksomheder at indhente de forskellige personoplysninger.
    5. Samtidig skal det i forbindelse med indhentelse af personoplysningerne vurderes, hvor længe det er nødvendigt at opbevare oplysningerne, således at oplysningerne ikke opbevares i længere tid, end det er nødvendigt for opfyldelse af det formål, de er indhentet til.
    6. Jeg skal derfor altid tage stilling til, hvad der er nødvendigt at indhente af personoplysninger, hvorfor det er nødvendigt at indhente personoplysningerne, hvem der skal have adgang og hvor længe det er nødvendigt at opbevare de indhentede personoplysninger.
    7. Skal jeg behandle følsomme personoplysninger og/eller fortrolige personoplysninger, skal der med stor sandsynlighed indhentes et samtykke. Jeg vil i så fald vurdere, om jeg har det fornødne grundlag for at behandle oplysningerne, eller om jeg skal indhente et samtykke fra den registrerede.
    8. I forbindelse med indhentelse af samtykket, er det nødvendigt, at det præcist angives, hvad formålet er med behandling af personoplysningerne – altså hvorfor ønsker jeg at få øvrigepersonfølsomme oplysninger.
    9. Såfremt der skal indhentes yderligere følsomme og/eller fortrolige personoplysninger, som ikke er nævnt i samtykkeerklæringen, er det nødvendigt, at der indhentes et nyt samtykke forinden, at oplysningerne indhentes og behandles.
  3. Selskabets oplysningspligt
    1. Selskabet skal som dataansvarlig altid give følgende oplysninger til den registrerede forinden personoplysningerne indhentes og behandles:
      • Selskabets identitet og kontaktoplysninger.
      • Kontaktoplysninger på en eventuel databeskyttelsesrådgiver. (Jeg har pt ingen data- beskyttelsesrådgiver)
      • Formålet med behandlingen.
      • De berørte kategorier af personoplysninger.
      • De modtagere eller kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til.
      • Hvor længe oplysningerne bliver opbevaret eller alternativt, hvilke kriterier, der lægges til grund for opbevaringstiden.
      • På hvilket grundlag behandlingen af personoplysninger foretages.
      • Retten til at klage til Datatilsynet, jfr. nærmere nedenfor.
      • Hvorfra personoplysningerne stammer, hvis ikke de er indsamlet fra den registrerede selv.
      • Hvorvidt den registreredes persondata overføres til tredjelande eller en international organisation.
      • Retten til indsigt.
      • Retten til at bede om berigtigelse eller sletning af personoplysninger eller begrænsning af behandlingen heraf samt retten til at gøre indsigelse mod en sådan behandling.
      • Retten til dataportabilitet.
    2. Som bilag 1 til denne politik, er vedlagt Selskabets eksterne datapolitik, som jeg skal sende til potentielle eller faktiske låntagere (pantebrevdebitorer), kautionister, investorer og samarbejdspartnere.
    3. Jeg skal opfylde min oplysningspligt overfor alle mine potentielle eller faktiske låntagere (pantebrevdebitorer), kautionister, investorer og samarbejdspartnere, både eksisterende og nye. Derfor skal alle potentielle eller faktiske låntagere (pantebrevdebitorer), kautionister, investorer og samarbejdspartnere tilsendes en mail/brev med min eksterne datapolitik, typisk i forbindelse med den potentielle eller faktiske låntagers (pantebrevdebitors), kautionists, investors og samarbejdspartners første kontakt med Selskabet. Modtager jeg personoplysninger fra en potentiel eller faktisk låntager (pantebrevdebitor), kautionist, investor og samarbejdspartner, skal jeg hurtigst muligt sende vedkommende min eksterne datapolitik. Har den potentielle eller faktiske låntager (pantebrevdebitor), kautionist, investor og samarbejdspartner ikke en e-mail, udleverer jeg datapolitikken i fysisk form.
    4. Derudover har jeg i min mailsignatur indsat et link til min eksterne datapolitik, således modtagere af e-mails kan læse min datapolitik. Derudover skal der sender mig e-mails – opfordret som uopfordret have kopi af min datapolitik – enten som en vedhæftet fil eller via et direkte link til datapolitikken.
  4. Den registreredes rettigheder
    1. Indsigt
      Den registrerede har ret til at få indsigt i, hvorvidt der behandles personoplysninger vedrørende den pågældende. Derudover har den registrerede ret til at få adgang til de registrerede oplysninger om sig selv.
    2. Berigtigelse
      Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget. Dette skal ske uden unødig forsinkelse, dog senest 7 dage efter henvendelsen er modtaget, jfr. nedenfor om proceduren ved en sådan henvendelse
    3. Sletning
      Den registrerede har ret til at få personoplysninger om sig selv slettet:
      • Hvis personoplysningerne ikke længere er nødvendige for at opfylde de formål, hvortil de er indsamlet eller på anden vis behandlet,
      • Såfremt den registrerede trækker sit samtykke tilbage,
      • Såfremt den registrerede gør indsigelse mod behandlingen af personoplysningerne,
      • Såfremt den registreredes personoplysninger er blevet behandlet ulovligt, og/eller
      • Såfremt personoplysningerne skal slettes for at overholde af en retlig forpligtelse, som jeg måtte være underlagt.
    4. Ret til begrænsning af behandling
      Den registrerede har ret til at få begrænset behandlingen af de personoplysninger, som jeg opbevarer og behandler vedrørende den registrerede:
      • Hvis rigtigheden af personoplysningerne bestrides – dette gælder i perioden indtil, at jeg har undersøgt, hvorvidt personoplysningerne er korrekte,
      • Hvis behandlingen er ulovlig og den registrerede modsætter sig sletning af personoplysninger og i stedet anmoder om, at anvendelsen heraf sker i begrænset omfang,
      • Hvis jeg ikke længere har brug for personoplysningerne til behandling, men at de er nødvendige for at et retskrav kan fastlægges, gøres gældende eller forsvares, og
      • Hvis den registrerede har gjort indsigelse mod behandlingen – i perioden mens det kontrolleres, om jeg har legitime interesser til at behandle personoplysningerne, der går forud for den registrerede legitime interesser.
    5. Der kan efter GDPR være konkrete situationer, hvor Selskabet ikke er forpligtet til at efter- komme ovenstående rettigheder.
  5. Underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
    1. Jeg er forpligtet til at underrette enhver modtager af den registreredes personoplysninger, om enhver berigtigelse eller sletning (I forbindelse med de registreredes rettigheder) af eller begrænsning, medmindre dette viser sig umuligt eller uforholdsmæssigt vanskeligt.
    2. Jeg skal oplyse den registrerede om disse modtagere, hvis den registrerede måtte bede herom.
  6. Ret til indsigelse
    1. Den registrerede har ret til at gøre indsigelse mod min behandling af den registreredes personoplysninger.
    2. Såfremt der måtte komme indsigelser fra den registrerede, skal jeg undersøge, hvorvidt jeg fortsat har legitime grunde til behandlingen, der går forud for den registreredes rettigheder. Indtil dette er afklaret, må jeg ikke behandle eller bruge personoplysningerne.
  7. Ret til datapotabilitet
    1. Den registrerede har i følgende tilfælde ret til at modtage personoplysninger om sig selv i et almindeligt anvendt og maskinlæsbart format eller få disse oplysninger videregivet til en anden dataansvarlig (begge betingelser skal være opfyldt):

      1) Min behandling af oplysninger om den registrerede foretages automatisk og er baseret på et samtykke eller er nødvendig for at opfylde en kontrakt.

      2) Den registrerede har selv givet mig de personoplysninger, som jeg behandler. Den registrerede anses for at have givet mig oplysningerne, både når oplysningerne er givet direkte til mig, og når de er genereret ved brug af elektroniske anordninger, som jeg er dataansvarlig for.

  8. Håndtering af de registreres rettigheder
    1. Det er vigtigt at sikre at den registrerede er den rigtige, således der f.eks. ikke gives indsigt til den forkerte person. I så fald vil der være tale om et databrud.
    2. Såfremt jeg i forvejen kender den registrerede, vil det sjældent være et problem at identificere, om det er den rette person.
    3. Hvis jeg ikke i forvejen kender den person, der f.eks. fremsætter anmodningen om indsigt, skal jeg sikre mig, at personen er den, som vedkommende præsenterer sig som – altså den registrerede. Dette kan f.eks. ske ved at spørge ind til oplysninger, som jeg allerede har på personen (f.eks. hvad er din fødselsdag, CPR.nr. m.v.). Såfremt den pågældende ringer ind, bør jeg altid bede den registrerede om at sende en e-mail, således jeg kan sikre mig, at det kommer fra den rette e-mailadresse, hvilket kan være med til at identificere, om det er den rette person. Får jeg en e-mail, bør jeg altid ringe til den registrerede for at sikre mig, at det er den rette person. Under alle omstændigheder skal jeg altid konkret vurdere, om jeg har tilstrækkelige oplysninger til at identificere, om det er den rette person ellers må jeg bede om flere oplysninger.
  9. Tekniske foranstaltninger
    1. Med henblik på at opnå en passende beskyttelse af personoplysningerne, implementeres passende tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne kun opbevares, behandles og videregives i nødvendigt omfang. Derudover sikres det, at det ikke er muligt for uvedkommende at få adgang til personoplysningerne.
  10. Procedurer ved brud på persondatasikkerheden
    1. Såfremt det viser sig, at der er et brud på persondatasikkerheden, skal der foretages en anmeldelse til Datatilsynet via formularen på www.VIRK.dk.
    2. Et brud på persondatasikkerheden kan f.eks. være, at:
      • en smartphone, bærbar computer eller tablet med adgang til Selskabets systemer, e-mails eller andre oplysninger om registrerede bliver stjålet eller tabes,
      • en e-mail sendes til en forkert modtager,
      • en computer får en virus eller der opdages andet malware på en computer,
      • dokumenter med personoplysninger bliver stjålet, f.eks. fra en bil, eller
      • Selskabet har haft indbrud.
    3. Anmeldelse skal ske til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter, at jeg er blevet bekendt med bruddet på persondatasikkerheden.
    4. Såfremt det ikke kan nås at foretage en anmeldelse inden for 72 timer, skal der fremsendes en begrundelse til Datatilsynet herfor.
    5. Selve anmeldelsen skal bl.a. indeholde:
      • en beskrivelse af karakteren af bruddet på persondatasikkerheden,
      • eventuelt navn på en databeskyttelsesrådgiver,
      • sandsynlige konsekvenser af bruddet på persondatasikkerheden, og
      • hvilke foranstaltninger, jeg har eller foreslår truffet med henblik på at håndtere bruddet på persondatasikkerheden.
    6. Såfremt der sker brud på persondatasikkerheden og det sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal der samtidig uden unødig forsinkelse ske en underretning til den registrerede herom.
    7. Det er dog ikke nødvendigt at oplyse den registrerede om bruddet, såfremt:
      • oplysningerne er krypteret eller på anden måde beskyttet og dermed uforståelige for enhver,
      • jeg har truffet foranstaltninger, der gør, at der ikke er risiko for, at oplysningerne kan bruges af tredjemand eller
      • det vil kræve uforholdsmæssig indsats at videregive denne oplysning til den registrerede.
    8. Samtidig skal mine IT-udbydere kontaktes med henblik på at minimere konsekvenserne ved bruddet samt fjerne eventuel malware og/eller virus.
    9. Jeg fører løbende en log over alle databrud og alle anmeldelser af databrud til Datatilsynet gemmes. Jeg foretager løbende en vurdering af, om databrudene giver anledning til ændringer i mine arbejdsgange og/eller denne politik.
  11. Klager
    1. Der er mulighed for at det registrerede kan klage over behandlingen af personoplysninger. Klage indgives til Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, dt@datatilsynet.dk.

    12. Tekniske foranstaltninger og procedurer

  12. Back-up
    1. Der laves minimum en gang dagligt backup af alle data, som Selskabet opbevarer og behandler. Dette sker via Keepit samt OneDrive. For at genetablere tabte data kan den pågældende leverandør kontaktes.
  13. Destruktion af data
    1. Når der ikke længere er behov for at opbevare persondata, skal de slettes.
    2. Der gælder derudover følgende overordnede regler for sletning:
    3. Oplysninger om låntagere opbevares så længe lånet ikke er tilbagebetalt og 5 år efter.
    4. Oplysninger om potentielle låntagere, hvis låneanmodning ikke fører til en effektuering af et lån, slettes indenfor 3 måneder.
    5. Oplysninger om samarbejdspartnere og investorer opbevares så længe, der er et samarbejde og i 3 år efter samarbejdet er ophørt.
    6. Fysiske dokumenter indeholdende følsomme persondata skal makuleres, når de ikke anvendes længere, og således ikke smides i den ”normale” skraldespand.
    7. Såfremt et medie (f.eks. computere, telefoner, USB-nøgler mv), som har indeholdt data, skal fjernes eller destrueres, skal jeg sørge for, at dataene er slettet forsvarligt på det pågældende medie, således at det ikke er muligt på anden vis at opnå adgang til de slettede data.
  14. Password
    1. Selskabet benytter passwords til beskyttelse af systemer og udstyr.
      Regler:
      • Passwords skal indeholde mindst 8 alfanumeriske tegn.
      • Passwords skiftes efter behov
      • Systemet husker 12 passwords tilbage, så passwords ikke kan genbruges.
      • Hvis det er indtastet et password forkert 3 gange, låses kontoen i 1 time, før der kan prøves igen.
    2. Får jeg mistanke om, at et password er blevet knækket, skal det straks skiftes, og de berørte IT-leverandører informeres.
    3. Behandling af passwords
      1. Passwords beskytter Selskabets systemer mod ulovlig indtrængen. De skal derfor behandles fortroligt og må ikke deles med andre.
    4. Regler for passwords
      1. Passwords skal behandles som fortrolig information.
      2. Der må aldrig have papirer med passwords liggende fremme, så de er offentligt tilgængelige.
      3. Jeg må aldrig det samme password til flere konti – firmanetværk, LinkedIn, Facebook mv. Bliver et password knækket, har hackeren adgang til alle konti.
    5. Alle computere låser automatisk, når de ikke har været brugt i 15 minutter.
    6. Det kræver en nøgle at få adgang til Selskabets kontor (der er tale om et hjemmekontor, hvorfor familien i princippet har adgang til selve kontoret).
  15. Opbevaring af personoplysninger
    1. Oplysninger om potentielle eller faktiske låntagere (pantebrevdebitorer), kautionister, inve- storer og samarbejdspartnere skal opbevares fortroligt og forsvarligt, således de ikke kan tilgås af uvedkommende.
    2. Opbevares følsomme eller fortrolige personoplysninger på en USB-nøgle eller et lignende me- die skal personoplysningerne beskyttes – f.eks. ved brug af et password eller kryptering.
    3. Dokumenter med personoplysninger, må ikke efterlades i en bil, som parkeres i mere end 1 time. Dokumenter med personoplysninger skal placeres i bilens bagagerum eller som minimum ude af syne, hvorved risikoen for indbrud og tyveri minimeres.
  16. Persondata på mobile enheder
    1. Mine mobile enheder (mobiltelefon/bærbar/tablet) skal have en unik låsekode, og/eller biometrisk adgangskontrol (fingeraftryk eller ansigtsgenkendelse m.v.), så det ikke er muligt for tredjemand at få adgang til persondata på den mobile enhed.
    2. For at undgå virus og malware, skal alle mobile enheder opdateres til nyeste version af den mobile enheds software.
    3. Der må ikke installeres software på den mobile enhed, som ikke er fra den preinstallerede app-store. Den mobile enhed må heller ikke ”jailbrakes” (iPhone) eller ”rootes” (Android), så der kan installeres ikke godkendte apps.
    4. I det omfang jeg benytter særlige apps eller gadgets, der håndterer mails, kontakter eller kalender informationer, sikrer jeg mig forinden ibrugtagen, at disse ikke videresender eller lagrer data eksternt.
  17. Udveksling af informationer
    1. Personoplysninger skal kun i nødvendigt omfang videregives til tredjemand.
    2. Såfremt oplysningerne videregives til en databehandler uden for Selskabet, skal der indgås en separat aftale med denne databehandler, således at det sikres, at kravene i denne politik / GDPR overholdes.
  18. Regler for informationsoverførsel
    1. Informationsoverførsel omfatter intern og ekstern kommunikation med potentielle eller faktiske låntagere (pantebrevdebitorer), kautionister, investorer og samarbejdspartnere osv. Selskabet tillader pr. definition kun kommunikation via e-mail igennem Selskabets eget e-mailsystem, så kommunikationen kan logføres, og der kan laves backup.
    2. Hvis der sendes fortrolige data eller følsomme persondata, skal dette gøres med forsigtighed. Husk derfor altid at dobbelttjekke, at der er indtastet korrekt modtageradresse, inden e-mailen sendes. Når først e-mailen er sendt, kan den IKKE kaldes tilbage.
  19. Malware
    1. Malware er en fælles betegnelse for ondsindet og skadeligt software (malicious software). Det er virus, ransomware, spyware og meget andet. Malwaren kan have forskellige formål, fra at stjæle informationer (industrispionage) til at kryptere data og kræve løsepenge for at låse dem op til at slette harddisken.
    2. De IT-kriminelle forsøger hele tiden at inficere IT-systemerne med malware. Det kan være gennem en inficeret webside, via et link i en e-mail (der installerer et ondsindet program) eller via en inficeret USB-nøgle.
    3. I Selskabet er der en række systemer (antivirus), som skal forhindre malware-angreb på IT- systemet, men det betyder ikke, at de yder 100 % beskyttelse. Det vigtigste er, at man bruger sin sunde fornuft og tænker sig om, før der f.eks. sættes en USB-nøgle i computeren eller klikkes på et link (eller en vedhæftning) i en e-mail.
      1. Vær altid forsigtig, når der modtages e-mails fra personer, man ikke kender – og klik aldrig på links, og åbn aldrig vedhæftninger (attachments), når der er tvivl om, hvorvidt de kan være skadelige.
      2. Slet straks phishing e-mails, og advar implicerede om e-mailen – de har måske også modtaget den.
      3. Download aldrig software fra websider, som man ikke kender – de kan være inficeret med malware.
      4. Brug aldrig eksterne medier – USB-nøgler og eksterne harddiske – hvor oprindelsen er ukendt.
      5. Såfremt der er tvivl om, hvorvidt computeren er blevet inficeret, så skal man straks lukke ned, og kontakte den relevante IT-leverandør.
  20. Firewall og antivirus
    1. For at opretholde et forsvarligt sikkerhedsniveau, er der på de enkelte computere opsat en firewall og antivirus. Der sker løbende opdatering heraf.
  21. Cloud storage
    1. Jeg må ikke bruge private cloud storage-tjenester som Dropbox, Box, One Drive mv. til opbevaring af Selskabets data. Selskabets Microsoft SharePoint skal altid benyttes.
  22. E-Mail
    1. Personoplysninger skal kun i begrænset omfang fremgå af e-mails – det er f.eks. i de færreste tilfælde nødvendigt at nævne cpr.nr. Indeholder en e-mail følsomme personoplysninger, fortrolige oplysninger eller CPR.nr. skal e-mailen sendes krypteret. Emnefeltet må aldrig inde- holde personoplysninger, da dette felt ikke kan krypteres.

      Alle Selskabets e-mails sendes med tunnelkryptering (TLS via Microsoft Exchange). Derudover deles oplysninger via OneDrive.
  23. Sociale Medier
    1. Brug altid de sociale medier med omtanke. IT-kriminelle følger også med på Facebook, Linke- dIn, Twitter osv. og ved at en medarbejders sociale profil kan indeholde værdifuld information om Selskabets sikkerhed.
    2. Brug ALDRIG det samme password til sociale medier, som benyttes til Selskabets systemer. Brug i stedet forskellige passwords til de forskellige medier, så et kompromitteret password ikke giver adgang til alle konti.
  24. Uddannelse og kontrolforanstaltninger
    1. Jeg vil løbende og i nødvendigt omfang uddanne mig i IT-sikkerhed, beskyttelse af persondata samt kravene i GDPR.
    2. Derudover vil der løbende blive foretaget risikovurderinger og ført kontrol med håndtering af persondata med henblik på at sikre overholdelse af Selskabets datapolitikker og GDPR.
  25. Revision af politikken
    1. Såfremt Selskabet udvides ved ansættelse af medarbejdere, skal denne politik revideres herefter, således politikken afspejler den nye virksomhedsstruktur.

Dato: 05.12.2022