Beredskabsplan ved brud på datasikkerheden

 

1. Indledning

Denne beredskabsplan (”Beredskabsplan”) for Thy-Mors HF & VUC fastsætter de nærmere retningslinjer og interne procedurer for Thy-Mors HF & VUCs håndtering af brud på datasikkerheden.

Beredskabsplanen benyttes i tilfælde af brud på de tekniske og organisatoriske sikkerhedsforanstaltninger, som Thy-Mors HF & VUC eller databehandlere har etableret, og som indebærer en risiko for, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

I det følgende anvendes begrebet ”Beredskabssituation” som en samlebetegnelse for de ovenfor anførte typer af brud på sikkerhedsforanstaltninger omfattet af denne Beredskabsplan.

Beredskabsplanen skal medvirke til at sikre, at Thy-Mors HF & VUC håndterer Beredskabssituationer på professionel og effektiv vis, at fejl og forstyrrelser afhjælpes hurtigst muligt, samt at eventuelle skader minimeres.

Endvidere skal Beredskabsplanen sikre, at Thy-Mors HF & VUC til hver en tid besidder de nødvendige organisatoriske og ledelsesmæssige forudsætninger for håndteringen af en Beredskabssituation.

Beredskabsplanen indeholder i afsnit 4 en detaljeret handlingsplan, der skal følges i tilfælde af en Beredskabssituation (”Handlingsplan”).

 

2. Beredskabsgruppe

Thy-Mors HF & VUC udpeger en gruppe af medarbejdere (”Beredskabsgruppen”), der i tilfælde af en Beredskabssituation har ansvaret for udførelsen af denne Beredskabsplan.

Beredskabsgruppen består af følgende personer:

 

 

Beredskabsgruppen er ansvarlig for alle beslutninger og praktiske tiltag i forbindelse med håndteringen af en Beredskabssituation.

Et medlem af Beredskabsgruppen skal kontaktes ved enhver mistanke om, at en Beredskabssituation er opstået eller såfremt der grund til at tro, at en Beredskabssituation er ved at opstå. Det pågældende beredskabsmedlem skal derefter informere resten af Beredskabsgruppen.

 

3. Håndtering af en Beredskabssituation

I en Beredskabssituation samles Beredskabsgruppen hurtigst muligt med henblik på iværksættelse af denne Beredskabsplan.

Alle Beredskabssituationer, herunder mistanke om Beredskabssituationer skal meddeles til Beredskabsgruppen straks.

Beredskabsgruppen følger som udgangspunkt den Handlingsplan, der er indeholdt i afsnit 4 nedenfor. Handlingsplanen angiver i kronologisk og prioriteret rækkefølge de forskellige opgaver, der skal udføres eller iagttages af Beredskabsgruppen ved håndteringen af en Beredskabssituation.

Handlingsplanen kan med fordel også anvendes som journal for håndteringen af en Beredskabssituation, og det anbefales, at det i en Beredskabssituation løbende indføres, hvem der er ansvarlig for hvilke opgaver samt på hvilket tidspunkt, opgaven er blevet løst.

Da hver Beredskabssituation er forskellig, skal Handlingsplanen ikke nødvendigvis følges slavisk i alle tilfælde, idet forskellige omstændigheder kan medføre, at et eller flere punkter bør fraviges.

Som helt overordnede huskeregler, skal Beredskabsgruppen i alle tilfælde iagttage følgende i en Beredskabssituation:

  • bevare roen og overblikket

  • underrette Thy-Mors HF & VUC’s ledelse

    • ved større brud underrettes den samlede ledelse

    • Ved mindre brud underrettes den relevante ledelse

  • samarbejde med eventuelle databehandlere med henblik på straks at stoppe/rette fejl og minimere skaden.

  • sørge for, at intern og ekstern kommunikation varetages i samråd med Thy-Mors HF & VUC’s ledelse. Sagen må ikke diskuteres med udenforstående personer, herunder pressen, uden først at have konsulteret Thy-Mors HF & VUC’s ledelse.

  • anvende Handlingsplanen i afsnit 4 til at håndtere den konkrete Beredskabssituation.

 

4. Handlingsplan

 

Nr.

Handling

Ansvarlig

Tid

1

Modtagelse af notifikation og iværksættelse af beredskab

Når en notifikation om en potentiel Beredskabssituation modtages, underrettes de øvrige medlemmer af Beredskabsgruppen og beredskabet iværksættes.

 

Kontaktoplysninger Beredskabsgruppen:

Persondataansvarlig Irene Christensen, ic@vuctm.dk

Rektor Jens Otto Madsen, ma@vuctm.dk

IT-administrator Finn Godsk Madsen, fm@vuctm.dk

 

 

2

Overblik

Beredskabsgruppen søger for hurtigst muligt at danne sig et overblik over følgende:

·         Type af hændelse

·         Omfanget af skaden

Er databehandlere involveret?

 

 

3

Notifikation af Thy-Mors HF & VUC’s ledelse

Thy-Mors HF & VUC’s ledelse underrettes om Beredskabssituationen og orienteres løbende om udviklingen.

Kontaktoplysninger Thy-Mors HF & VUC’s ledelse:

Rektor Jens Otto Madsen, ma@vuctm.dk – 23 26 12 78

Vicerektor Erik Dose Hvid, eh@vuctm.dk – 23 60 65 30

AVU-chef Kirsten Torp, kto@vuctm.dk – 61 14 03 85

 

 

4

Underret databehandler

Underret den eller de involverede databehandlere, hvis de ikke allerede er informeret.

 

 

5

Indledende vurdering af hændelsen

Foretag en indledende vurdering af fejlens omfang og konsekvenser, evt. i samarbejde med databehandleren eller andre implicerede aktører.

 

 

6

Begrænsning af skaden

Alle relevante tiltag for at stoppe fejlen/lækagen og minimere skaden iværksættes straks. Hvis nødvendigt, træffes beslutning om foreløbig suspension af det pågældende IT-system.

 

 

7

Intern og ekstern kommunikation

Der udarbejdes en plan for den interne og eksterne kommunikation. Sørg for, at al intern og ekstern kommunikation udsendes samtidigt, hvis dette er påkrævet, og at budskaberne er ens.

 

 

7a

Pressestrategi

Varetagelse af en eventuel pressestrategi i samråd med Thy-Mors HF & VUC’s ledelse og evt. ekstern kommunikations/presserådgiver.

 

 

7b

Medarbejdere

Udarbejdelse af eventuelle meddelelser til Thy-Mors HF & VUC’s medarbejdere.

 

 

7c

Relevante myndigheder

Udarbejdelse af eventuelle meddelelser til relevante myndigheder, herunder Datatilsynet (se afsnit 5 nedenfor).

 

 

7d

Berørte personer

Udarbejdelse af eventuelle meddelelser til berørte personer (fx kursister, medarbejdere og samarbejdspartnere).                

 

 

7e

Responder på spørgsmål

Svar på eventuelle spørgsmål med fokus på de mest kritiske spørgsmål og interessenter.

 

 

8

Detaljeret redegørelse fra relevante databehandlere

Den/de relevante databehandler(e) anmodes om udarbejdelse af en detaljeret redegørelse over hændelsesforløbet, baggrunden for fejlen, konsekvenserne heraf, hvordan fejlen er rettet og hvordan det sikres, at fejlen ikke gentager sig.

 

 

9

Påbegynd planlægning af normalisering

For at minimere perioden med eventuelt nedsat driftsfunktionalitet i Beredskabssituationen og unødige omkostninger, igangsættes i relevant omfang planlægning af aktiviteter til normaliseret drift i samarbejde med leverandøren og eventuelt andre implicerede.

 

 

10

Redegørelse over hændelsesforløbet

På baggrund af redegørelsen den/de relevante databehandler(e), udarbejder Beredskabsgruppen en redegørelse over hændelsesforløbet til Thy-Mors HF & VUC’s ledelse og eventuelle relevante myndigheder, herunder Datatilsynet (se afsnit 5 nedenfor).

 

 

11

Opfølgning

Beredskabsgruppen tilser, at de forhold, der førte til Beredskabssituationen, er blevet bragt i orden, og at driften normaliseres. Det skal i samarbejde med en eventuel databehandler sikres, at lignende fejl ikke kan ske fremover.

 

 

 

5. Anmeldelse til Datatilsynet og underretning af berørte personer

5.1 Anmeldelse til Datatilsynet:

Beredskabsgruppen anmelder en Beredskabssituation til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer, efter Beredskabssituationen blev opdaget. Anmeldelse til Datatilsynet kan undlades, hvis det er usandsynligt, at Beredskabssituationen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Hvis Datatilsynet ikke kan underrettes inden for tidsfristen på 72 timer, underrettes Datatilsynet hurtigst muligt, og underretningen ledsages af en begrundelse for forsinkelsen.

 

5.2 Underretning af registrerede personer:

De berørte registrerede personer (fx medarbejdere, kursister, samarbejdspartnere mv.) underrettes uden unødig forsinkelse om Beredskabssituationer, når Beredskabssituationen sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

Underretning skal ske i samråd med Thy-Mors HF & VUC’s ledelse.

 Underretning af registrerede personer kan undlades, hvis

  • Thy-Mors HF & VUC har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af Beredskabssituationen, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering.

  • Thy-Mors HF & VUC har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel.

  • underretning vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

 

5.3 Thy-Mors HF & VUC som databehandler

Hvis Thy-Mors HF & VUC bliver opmærksom på en Bredskabssituation vedrørende behandlingsaktiviteter, hvor Thy-Mors HF & VUC agerer som databehandler på vegne af andre, skal Thy-Mors HF & VUC underrette den dataansvarlige uden unødig forsinkelse og i overensstemmelse med eventuelle bestemmelser i databehandleraftalen med den dataansvarlige.

 

6. Evaluering og opdatering af Beredskabsplanen

Efter afslutningen af en Beredskabssituation, udarbejder Beredskabsgruppen en evaluering af forløbet til Thy-Mors HF & VUC’s ledelse.

Beredskabsplanen skal gennemgås, når det skønnes nødvendigt, dog mindst en gang årligt.