1. Start
  2. Om os
  3. Databeskyttelsespolitik for Humana
""

Databeskyttelsespolitik for Humana

Vi værner om din personlige integritet og stræber efter at sikre dine personlige oplysninger på bedste vis.

Overordnet organisering af personoplysninger

Humana ønsker som hovedregel at anvende digitale databehandlingssystemer og digital opbevaring af personoplysninger hos eksterne professionelle leverandører, der sikkert hoster og stiller IT-systemer til rådighed, således at Humana ikke selv har behov for at råde over kompetence til at stå for den daglige drift af sådanne systemer.

Humana ønsker endvidere, i videst muligt omfang, at organisere opbevaringen af personoplysninger i dedikerede centrale systemer, så personoplysninger ikke findes fordelt på flere systemer og både i elektronisk og manuel form.

Formål

Databeskyttelsespolitikken beskriver det ledelsesgodkendte niveau for sikkerhed i Humana og indeholder de overordnede sikkerhedsmålsætninger og danner grundlag for udformning af Humanas databeskyttelseshåndbog (GDPR-doc I-4) med de underliggende retningslinjer og forretningsgange.

De retningslinjer, der udformes for at understøtte databeskyttelsespolitikkens hovedmålsætninger skal sikre, at alle medarbejdere arbejder med og forholder sig til datasikkerhed i behandlingen af personoplysninger i det daglige arbejde.

Databeskyttelsespolitikken er især formuleret med henblik på beskyttelse af personoplysninger, men den finder tilsvarende anvendelse på økonomiske- og andre data.

Datasikkerhed er derfor en nøgleværdi, og den er en naturlig del af Humanas automatiske og manuelle databehandling, herunder især personoplysninger.

Omfang

Databeskyttelsespolitikken er gældende for alle der er tilknyttet virksomheden enten som medarbejdere, ledelse, bestyrelse, leverandører og samarbejdspartnere.

Alle leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til Humanas IT-systemer, data og personoplysninger skal gøres bekendt med politikken og forpligte sig til at følge den.

Databeskyttelsespolitikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Humanas digitale databehandlingssystemer samt manuelle arkiver og registre.

Hovedmålsætninger og sikkerhedsniveau

Humana har følgende sikkerhedsmålsætning:

”Humana har et passende og tilstrækkeligt teknisk og organisatorisk sikkerhedsniveau, der gælder for alle ansatte, leverandører og samarbejdspartnere ved behandling af personoplysninger og andre data ved hel eller delvis anvendelsen af digital databehandling, samt for behandling af papirbaserede personoplysninger."

Et passende og tilstrækkeligt databeskyttelsesniveau[1] søges opnået ved tekniske og organisatoriske foranstaltninger, der sikrer:

  • vedvarende fortrolighed, integritet, tilgængelighed og robusthed af Humanas digitale behandlingssystemer og behandlingstjenester i forhold til den risikovurdering gennemføres for de enkelte systemer og personoplysninger.
  • anvendelse af pseudonymisering og kryptering, hvor det er relevant, herunder ved dataudveksling med databehandlere og eksterne parter og offentlige myndigheder
  • evnen til rettidigt at genoprette tilgængelighed af og adgangen til data i tilfælde af en fysisk eller teknisk hændelse
  • procedurer for regelmæssig afprøvning, vurdering og evaluering af databeskyttelsessikkerheden
  • beskyttelse af Humanas IT-aktiver, personoplysninger og øvrige data i Humanas varetægt.

Et tilstrækkelige sikkerhedsniveau fastholdes ved:

  • at der vedvarende forefindes retningslinjer og forretningsgange, som sikrer, at databehandlingssikkerheden er en integreret del af Humanas drift og daglige arbejde. Målet er, at sikre en kontinuerlig forbedringsproces, der løbende vedligeholder og optimerer databeskyttelsespolitikken, retningslinjer og forretningsgange.
  • at det igennem kontrakt- og leverandørstyring sikres, at brugen af eksterne leverandører, konsulenter og samarbejdspartnere lever op til den gældende databeskyttelseslovgivning og Humanas databeskyttelsesniveau.
  • at der i forbindelse med indførelse af nye IT-systemer gennemføres:
    – passede tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige behandles
    – hvis det skønnes nødvendigt, gennemførelse af analyse af den påtænkte behandling af personoplysningers konsekvenser for beskyttelse af oplysningerne, (Konsekvensanalyse)
  • Humana følger op på datasikkerheden igennem løbende vedligeholdelse og optimering af databeskyttelsespolitikken og de dertilhørende retningslinjer og forretningsgange.

[1] Som beskrevet i Databeskyttelsesforordningen artikel 32

Organisation og ansvar

Sikkerhedsmålsætning:

"Alle medarbejdere har ansvar for datasikkerheden. De er bekendte med og efterlever Humanas databeskyttelsespolitik, retningslinjer og forretningsgange, der er beskrevet i Databeskyttelseshåndbogen (GDPR-doc I-4)."

Planlægning, implementering og kontrol af datasikkerheden er defineret af Humanas daglige ledelse, der også er ansvarlig for implementering og vedligeholdelse af databeskyttelsessikkerhedssystemerne og er ansvarlig for opfølgning på sikkerhedshændelser (brud).

Ledelsen fastsætter i Databeskyttelseshåndbogen (GDPR-doc I-4) hvem der har ansvaret for hver af Humanas digitale og manuelle databehandlingssystemer, styring af systemadgang og netværksadgang, tildeling af rettigheder, indgåelse af IT-kontrakter og andre kontrakter, indkøb af hardware og installation af software, behandling af henvendelser fra de registrerede, opsamling og styring af anmeldelse af brud på persondatasikkerheden til Datatilsynet og de registrerede, der er berørt af bruddet.

Databeskyttelsespolitikken revurderes og godkendes én gang årligt, eller i forbindelse med eventuelle situationer, der nødvendiggør det.

Ledere og medarbejdere er ansvarlige for at efterleve retningslinjer og procedurer for datasikkerhed i det daglige arbejde. Medarbejdere der konstaterer eller oplever brud på datasikkerheden skal anmelde det hurtigst muligt til nærmeste ledere eller den udpegede kontaktperson for persondata.

Den nødvendige viden og kompetence om databeskyttelse og sikkerhed kommunikeres til alle medarbejdere, og der bliver løbende arbejdet med holdninger og viden omkring databeskyttelse og sikkerhed.

Ledelsen er ansvarlig for, at databeskyttelsespolitikken overholdes.

Databeskyttelseshåndbogen

Databeskyttelsespolitikken uddybes af ledelsen i skriftlige retningslinjer og forretningsgange.

Databeskyttelseshåndbogen (GDPR-doc I-4) indeholder bl.a. retningslinjer for:

  1. medarbejdernes håndtering af sikkerhed.
  2. adgangsstyring
  3. behandling af data på mobile enheder
  4. anvendelse af sikker mail
  5. netværksstyring
  6. styring af sikkerhedshændelser (brud)
  7. behandling af personoplysninger
  8. styring af IT-leverandører og databehandlere

Tilsammen udgør politikken, retningslinjer, beredskabspolitik og forretningsgange Humanas samlede dokumenterede grundlag for overholdelse af gældende regler om behandling af personoplysninger.

Principper og forretningsgange for behandling af personoplysninger

Ledelsen fastsætter principper og forretningsgange for behandling af personoplysninger, der sikrer overholdelse af Databeskyttelsesforordningen og Persondataloven.

Forretningsgangene, der dokumenteres, omfatter:

  • Principper for behandling af personoplysninger
  • Anvendelse af samtykke som grundlag for behandling af personoplysninger
  • Procedurer for udøvelse af den registreredes rettigheder, herunder underretning ved registrering og udøvelse af retten til berigtigelse, sletning eller begrænsning af behandling og ret til dataportabilitet
  • Fortegnelser udarbejdet over behandlingsaktiviteter med personoplysninger

Risikovurdering og klassifikation af data

Risikovurdering

Humana ønsker at være bevidst om enhver risiko, og ud fra en risikovurdering opnå et passende og tilstrækkeligt sikkerhedsniveau etableres både elektronisk og fysisk.

Ledelsen deltager aktivt i risikovurderingen og er ansvarlige for at vurdere trusler, konsekvenser og risici ved automatisk og manuel databehandling.

En gang årligt, evaluerer den daglige ledelse den aktuelle risikovurdering og vurderer om revurdering og opdatering er påkrævet. Det samme skal ske ved betydelige ændringer i opgaver, leverandører, databehandlingssystemer.

Klassifikation

For at sikre, at systemer og data har det rigtige sikkerhedsniveau, skal disse klassificeres. Data og systemer skal klassificeres efter både tilgængelighed, integritet (pålidelighed) og fortrolighed.

Tilgængelighed

I tilgængelighedskriteriet ligger, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.

Det er for Humana især vigtigt med høj tilgængelighed til data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med personoplysninger, personaleadministration, herunder lønudbetaling og indberetninger til myndigheder.

Tilgængeligheden sikres først og fremmest igennem bestemmelser i de IT-kontrakter og/eller databehandleraftaler, der indgås med leverandørerne.

Integritet og pålidelighed

Med integritet og pålidelighed menes, at data om og i systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige.

Det er for Humana især vigtigt med høj integritet og pålidelighed i data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med behandling af personoplysninger og personaleadministration.

Integritet og pålidelighed sikres først og fremmest gennem den kvalitetskontrol, der finder sted under de fastlagte forretningsgange for behandling personoplysninger og sager.

Fortrolighed

Med fortrolighed menes der, at kun autoriserede personer har ret til at tilgå personoplysningerne, og personoplysningerne kun skal være tilgængelige for autoriserede personer.

Personoplysninger behandles altid fortroligt og videregives eller offentliggøres kun med samtykke fra den registrerede, med mindre videregivelse har anden hjemmel i lovgivningen.

I Databeskyttelseshåndbogen (GDPR-doc I-4) angives hvilke personer, der har adgang til personoplysninger om borgernes og medarbejdernes.

Overtrædelse af databeskyttelsespolitikken

Alle medarbejdere hos Humana er forpligtet til at efterleve den til enhver tid gældende databeskyttelsespolitik med tilhørende retningslinjer, forretningsgange og relaterede bilag.

Alle medarbejdere modtager ved deres tiltræden af stillingen et eksemplar af den aktuelle og gældende Databeskyttelseshåndbog (GDPR-doc I-4) og instrueres om digital adgang til Humanas øvrige dokumentationsmateriale om data- og persondatasikkerhed.

Afvigelser

Hvis der opstår situationer, hvor kravene i Databeskyttelsespolitikken helt undtagelsesvist ikke kan efterleves, skal det undtagelsesfrit godkendes af den daglige ledelse og dokumenteres, og der indføres alternative sikringsforanstaltninger.

Udarbejdelse og ikrafttrædelse

Ændringer i sikkerhedsdokumentationen forelægges og godkendes af ledelsen.

Databeskyttelsespolitikken er godkendt den 24. sep. 2019, og træder i kraft den 24. september 2019

Oplysning om behandling af personoplysninger om dig/dit barn i medfør af databeskyttelsesforordningen artikel 13

Du har rettet henvendelse til Humana.

I den forbindelse skal vi i medfør af databeskyttelsesforordningen artikel 13 oplyse dig om, at vi behandler personoplysninger elektronisk som er nødvendige for at kunne administrere din/dit barns sag i Humana.

Den dataansvarlige er:

Organisations- og HR-konsulent Mette Westergaard Jakobsen, Humana Danmark, Sydmarken 32 A, 2860 Søborg. Telefon: 7070 1807. Mail: mail@humana.dk

Formålet med behandlingen er, at kunne administrere din/dit barns sag i virksomheden og at leve op til de krav Humana er pålagt af offentlige myndigheder. Grundlaget for behandling af personoplysninger om dig/dit barn er databeskyttelsesforordningens artikel 6. stk. 1 punkt b og e samt artikel 9, stk. 2 pkt. a og h.

Humana har herudover valgt at anvende samtykke fra dig som grundlag for behandling af dine/dit barns personoplysninger, i de situationer, hvor dette er relevant.

Virksomheden videregiver ingen oplysninger om dig/dit barn til andre, medmindre virksomheden i følge dansk lovgivning er forpligtet hertil.

Personoplysninger om dig vil blive slettet efter 5 år.

I henhold til databeskyttelsesforordningens artikel 15, 16, 17, 18 og 20, har du ret til indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af oplysninger om dig/dit barn eller til at gøre indsigelse mod behandling. Du har også ret til dataportabilitet.

Samtykke som du har afgivet i medfør af databeskyttelsesforordningens artikel 6, stk. 1 punkt 1 eller artikel 9, stk. 2 pkt. a, kan du på ethvert tidspunkt trække tilbage, uden at dette dog berører lovligheden af behandlingen som er baseret på samtykket, inden tilbagetrækningen.

Hvis du ikke ønsker, at virksomheden behandler personoplysninger om dig/dit barn som er nødvendige for, at vi kan administrere din/dit barns sag i virksomheden og leve op til de forpligtelser som Humana er pålagt af offentlige myndigheder, eller ønsker at trække dit samtykke tilbage hertil, vil konsekvensen normalt være, at din/dit barns sag i virksomheden må bringes til ophør.

Du har mulighed for at indgive klage til datatilsynet hvis du finder Humanas behandling af dine/dit barns personoplysninger ukorrekte.

Cookie declaration

Cookies er små tekstfiler, som kan bruges af websteder til at gøre en brugers oplevelse mere effektiv. Loven fastslår, at vi kan gemme cookies på din enhed, hvis de er strengt nødvendige for at sikre leveringen af den tjeneste, du udtrykkeligt har anmodet om at bruge. For alle andre typer cookies skal vi indhente dit samtykke.
Dette websted bruger forskellige typer af cookies. Nogle cookies sættes af tredjeparts tjenester, der vises på vores sider. Du kan til enhver tid ændre eller tilbagetrække dit samtykke fra Cookiedeklarationen på vores hjemmeside. Angiv venligst dit samtykke-ID og -dato, når du kontakter os angående dit samtykke.