Risikovurdering
Humana ønsker at være bevidst om enhver risiko, og ud fra en risikovurdering opnå et passende og tilstrækkeligt sikkerhedsniveau etableres både elektronisk og fysisk.
Ledelsen deltager aktivt i risikovurderingen og er ansvarlige for at vurdere trusler, konsekvenser og risici ved automatisk og manuel databehandling.
En gang årligt, evaluerer den daglige ledelse den aktuelle risikovurdering og vurderer om revurdering og opdatering er påkrævet. Det samme skal ske ved betydelige ændringer i opgaver, leverandører, databehandlingssystemer.
Klassifikation
For at sikre, at systemer og data har det rigtige sikkerhedsniveau, skal disse klassificeres. Data og systemer skal klassificeres efter både tilgængelighed, integritet (pålidelighed) og fortrolighed.
Tilgængelighed
I tilgængelighedskriteriet ligger, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.
Det er for Humana især vigtigt med høj tilgængelighed til data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med personoplysninger, personaleadministration, herunder lønudbetaling og indberetninger til myndigheder.
Tilgængeligheden sikres først og fremmest igennem bestemmelser i de IT-kontrakter og/eller databehandleraftaler, der indgås med leverandørerne.
Integritet og pålidelighed
Med integritet og pålidelighed menes, at data om og i systemerne er korrekte, pålidelige, nøjagtige, opdaterede og fuldstændige.
Det er for Humana især vigtigt med høj integritet og pålidelighed i data og IT-systemer, der indeholder oplysninger, der anvendes i forbindelse med behandling af personoplysninger og personaleadministration.
Integritet og pålidelighed sikres først og fremmest gennem den kvalitetskontrol, der finder sted under de fastlagte forretningsgange for behandling personoplysninger og sager.
Fortrolighed
Med fortrolighed menes der, at kun autoriserede personer har ret til at tilgå personoplysningerne, og personoplysningerne kun skal være tilgængelige for autoriserede personer.
Personoplysninger behandles altid fortroligt og videregives eller offentliggøres kun med samtykke fra den registrerede, med mindre videregivelse har anden hjemmel i lovgivningen.
I Databeskyttelseshåndbogen (GDPR-doc I-4) angives hvilke personer, der har adgang til personoplysninger om borgernes og medarbejdernes.