Databeskyttelsespolitik for behandling af personoplysninger hos Behandlingsskolerne ApS

 

1. Baggrund

Databeskyttelsesforordningen blev officielt vedtaget den 14. april 2016, og fandt anvendelse fra den 25. maj 2018, hvor den danske Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (betegnet ”persondataloven”) blev ophævet.

Databeskyttelsesforordningens regler er i vidt omfang en videreførelse af de allerede gældende regler i persondataloven, men indeholder også en række nye og skærpede krav.

 

2. Introduktion

Behandlingsskolerne er forpligtet til at beskytte fortrolighed, integriteten og tilgængeligheden af de personoplysninger, som vi behandler. Vi er stærkt engageret i at beskytte personoplysninger, og arbejder derfor kontinuerligt for at sikre løbende overholdelse af databeskyttelseslovgivningen, herunder databeskyttelsesforordningen.

 

3. Anvendelsesområde

Behandlingsskolerne fører en transparent behandling af personoplysninger, hvorfor vi har udarbejdet denne databeskyttelsespolitik. Denne databeskyttelsespolitik finder anvendelse hos Behandlingsskolerne samt for samarbejdspartnere, der udfører opgaver på vores vegne, og som i den forbindelse behandler personoplysninger.

Denne databeskyttelsespolitik er gældende for alle nuværende og kommende selskaber under Behandlingsskolerne ApS.
Databeskyttelsespolitikken sætter rammerne for, hvordan vi behandler personoplysninger om elever, pårørende, medarbejdere, eksterne parter, herunder konsulenter kunder, leverandører, samarbejdspartnere og andre.

 

4. Formål

Formålet med databeskyttelsespolitikken er at fastlægge rammerne for behandling af personoplysninger hos Behandlingsskolerne.

 

5. Roller og ansvar

Ledelse og medarbejdere er forpligtede til at handle i henhold til GDPR-organisationens rollefordeling i forhold til efterlevelse af gældende regler for beskyttelse af personoplysninger.

 

6. Ansvarlighed

Vi udviser altid ansvarlighed, når vi behandler personoplysninger. Det gør vi bl.a. ved at dokumentere;

  • de beslutninger, vi træffer
  • de foranstaltninger og aktiviteter, vi udfører
  • de politikker, retningslinjer, forretningsgange og kontroller, vi implementerer om behandlingen af personoplysninger.

Udover de vedtagne politikker, retningslinjer og forretningsgange, sørger Behandlingsskolerne for, at der foreligger opdaterede kortlægninger af behandlings- og arbejdsaktiviteter, fortegnelser, samtykkeerklæringer, diverse skabeloner mv.

 

6.1. Klassifikation

Klassifikationen har bl.a. betydning, når vi vurderer, hvilket behandlingsgrundlag der gør en behandling lovlig, idet vi sondrer mellem behandling af almindelige, almindelige fortrolige og følsomme personoplysninger. Endvidere benytter vi klassifikationen, når vi vurderer, designer og implementerer tekniske og organisatoriske sikkerhedsforanstaltninger og kontroller for at beskytte personoplysningerne.

 

6.2. Grundprincipperne for behandling af personoplysninger

Vi behandler personoplysninger i henhold til de gældende regler i databeskyttelsesforordningen. Det betyder bl.a., at vi kun behandler personoplysninger til lovlige, rimelige og legitime formål, som vi kan dokumentere.

Vi indsamler, opbevarer og behandler kun personoplysninger, der er nødvendige for opfyldelsen af det angivne formål for behandlingen. Vi sørger derfor aktivt for at minimere indsamlingen og behandlingen af personoplysninger til det, der er absolut nødvendigt.

Vi begrænser behandlingen af personoplysninger, så vi ikke behandler dem på en måde, der er uforeneligt med det oprindelige formål. Endvidere sikrer vi, at personoplysningerne ikke opbevares i et længere tidsrum end det, der er nødvendigt for at opfylde formålet med behandlingen. Når personoplysningerne ikke længere er nødvendige, sikrer vi, at de enten slettes i henhold til vores regler om sletning, tilbageleveres til den registrerede, eller at der træffes andre tekniske og organisatoriske foranstaltninger som fx anonymisering, således at den registrerede ikke længere kan identificeres ud fra oplysningerne.

Såfremt personoplysningerne er urigtige eller ufuldstændige/mangelfulde i forhold til de formål, hvortil de behandles, sørger vi for at rette, opdatere eller slette disse.

 

6.3. Lovlig behandling af personoplysninger

Vi sikrer os, at der er et behandlingsgrundlag, når vi behandler personoplysninger.

Kontrakt

Når behandlingen foretages på baggrund af en kontrakt – oftest mellem kommunen og et barn og dets forældre/værge, sikrer vi, at kontrakten er skriftlig og undertegnet af begge parter.

Samtykke

Såfremt behandlingen foretages på baggrund af den registreredes samtykke, sikrer vi, at samtykket er afgivet frivilligt og er formuleret i et let forståeligt sprog, så den registrerede, ikke er tvivl om, hvad der gives samtykke til. Endvidere sikrer vi, at samtykket er afgivet ved en aktiv handling, således at den registrerede fx skal klikke ”ok”, skrive under eller lign. for at acceptere samtykket.

Herudover sikrer vi, at den registrerede bliver oplyst om, at samtykket altid kan trækkes tilbage med de konsekvenser det måtte have.
Udover ovenstående behandlingsgrundlag, kan Behandlingsskolerne i medfør af databeskyttelseslovgivningen også behandle personoplysninger på følgende grundlag:

  • Retlig forpligtelse – behandlingen er nødvendig for at overholde en retlig forpligtelse.
  • Vitale interesser – behandlingen er nødvendig for at beskytte den registreredes vitale interesser.
  • Interesseafvejning – behandlingen er nødvendig for at forfølge en legitim interesse.
  • Arbejds-, sundheds- og socialretlige forpligtelser og rettigheder – behandlingen er nødvendig for at overholde en organisations eller den registreredes arbejds-, sundheds-, og socialretlige forpligtelser og specifikke rettigheder.
  • Retskrav – behandlingen er relevant i forbindelse med et retskrav.

 

6.4. Overførsel af personoplysninger til lande uden for EU og EØS

Vi overfører kun personoplysninger til lande uden for EU og EØS (Det Europæiske Økonomiske Samarbejde), såfremt vi har et lovligt, rimeligt og legitimt grundlag herfor, og vi kan sikre et tilstrækkeligt beskyttelsesniveau.

 

6.5. Fortegnelser over behandlingsaktiviteter

Vi fører fortegnelser over de behandlinger af personoplysninger, vi foretager, og sørger aktivt for at holde fortegnelserne opdateret. For at sikre, at fortegnelserne opdateres løbende, har vi udnævnt ansvarlige hos Behandlingsskolerne, der står for vedligeholdelsen heraf. Fortegnelserne anvendes bl.a. som en del af dokumentationspligten, såfremt Datatilsynet kommer på tilsynsbesøg, samt som grundlag for vurdering af risici for den registrerede ved behandling af dennes personoplysninger.

 

6.6. Den registreredes rettigheder

Vi sikrer den registreredes rettigheder ved bl.a. at behandle dennes personoplysninger på en åben og oplyst måde. Det betyder, at vi oplyser den registrerede om, at vi behandler dennes personoplysninger, samt om hvordan, så den registrerede har mulighed for at gøre sine rettigheder gældende.

Herudover hjælper vi den registrerede med at udøve sine rettigheder, og vi håndterer den registreredes anmodning om at gøre sine rettigheder gældende, hvad enten vi skal efterkomme den registreredes anmodning eller ej. Når vi kommunikerer med den registrerede, gør vi det i en kortfattet form og i et klart og letforståeligt sprog.

Nedenfor er listet, hvilke rettigheder vi hjælper den registrerede med, såfremt de anmoder om det:

  • Indsigt i de behandlinger af personoplysninger, vi foretager om denne
  • Berigtigelse, såfremt personoplysningerne er forkerte eller mangelfulde
  • Sletning af de personoplysninger vi behandler
  • Begrænsning af behandlingen af personoplysninger
  • Udlevering af personoplysninger eller overførsel til en anden dataansvarlig
  • Behandling af indsigelse mod behandling af personoplysninger.
  • Ret til at klage til tilsynsmyndigheden (Datatilsynet) over vores behandling

Såfremt vi træffer afgørelser, som betydeligt påvirker den registrerede, sikrer vi, at en sådan afgørelse ikke udelukkende er truffet ved en automatisk behandling eller profilering.

Vi videregiver ikke personoplysninger til samarbejdspartnere eller andre eksterne organisationer, medmindre den registrerede har givet samtykke til dette, eller vi er retligt forpligtet til at videregive personoplysningerne.
Såfremt vi har videregivet personoplysninger, sikrer vi så vidt muligt, at modtagerne informeres om enhver berigtigelse, sletning eller begrænsning, som der er truffet foranstaltninger om.

 

6.7. Dataansvarlige og databehandlere

Når vi behandler personoplysninger, vurderer vi, hvornår vi er dataansvarlig, databehandler eller har delt ansvar (fælles dataansvarlige).
Vi behandler og udveksler personoplysninger mellem selskaberne under koncernen Behandlingsskolerne, for på bedste måde at udnytte de kompetencebetingede behandlingscentre koncernen også består af.

Dataansvarlig

Såfremt vi er dataansvarlig, sikrer vi først og fremmest, at vi kan påvise, at vi overholder de grundlæggende principper for behandling af personoplysninger. Dernæst at alle databehandlere, vi benytter, kan stille de fornødne sikkerhedsgarantier for behandling af personoplysninger. Endvidere sikrer vi, at de er instrueret i, hvordan de må behandle personoplysninger på Behandlingsskolernes vegne, samt at der er indgået en databehandleraftale, der lever op til kravene i de gældende regler, herunder at føre tilsyn med vores databehandlere.

Databehandler

Såfremt vi er databehandler, sikrer vi, at vi kun behandler personoplysninger indsamlet på lovligt grundlag og kun under instruks fra den dataansvarlige.

Endvidere sikrer vi, at vi ikke gør brug af andre databehandlere (underdatabehandlere), uden at vi har fået dette godkendt af den dataansvarlige.

Såfremt vi har fået en skriftlig godkendelse fra den dataansvarlige, sikrer vi, at vi underretter den dataansvarlige, såfremt vi planlægger at udskifte anvendte databehandlere, eller indgå aftaler med nye, således at den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer.

Såfremt den dataansvarlige har godkendt, at vi bruger andre databehandlere (underdatabehandlere), sikrer vi, at de som minimum lever op til de krav, som den dataansvarlige har stillet os.

 

6.8. Den registreredes risikovurdering

Når vi behandler personoplysninger, vurderer vi risiciene for den registrerede ved behandlingen af dennes personoplysninger. Vi foretager vurderingen på baggrund af de behandlingsaktiviteter, vi foretager, herunder anvendte systemer, således at vi får et samlet overblik over risiciene. Risiciene er beregnet og identificeret på baggrund af en mulig konsekvens for den registrerede ved behandlingen af dennes personoplysninger, samt sandsynligheden for at konsekvensen indtræffer.

 

6.9. Konsekvensanalyse (DPIA)

Hvis det er vurderet i den registreredes risikovurdering, at en type behandling af personoplysninger sandsynligvis vil indebære høj risiko for den registreredes rettigheder eller frihedsrettigheder, udfører vi – i de tilfælde hvor vi er dataansvarlig – en konsekvensanalyse.

 

6.10. Behandlingssikkerhed

Sikkerhedsstyring

På baggrund af den udarbejdede risikoanalyse og konsekvensanalyse definerer vi, hvilket sikkerhedsniveau og hvilke sikkerhedstiltag, der skal være implementeret for at sikre et tilstrækkeligt beskyttelsesniveau, når vi behandler personoplysninger.

I den forbindelse overvejer vi følgende forhold:

  • Brugen af pseudonymisering, kryptering og anonymisering.
  • Sikring af fortrolighed og integritet.
  • Systemernes tilgængelighed og modstandsdygtighed (robusthed).
  • Muligheden for at kunne genskabe tilgængelighed og adgang til behandlede personoplysninger inden rimelig tid (backup).
  • De identificerede risici, som behandling af personoplysninger indebærer, såsom hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til de behandlede personoplysninger, som kan føre til fysisk, materiel eller immateriel skade.
  • Vi revurderer løbende proceduren for sikkerhedstiltag, og ved ændringer testes og evalueres sikkerheden for at sikre, at sikkerhedsniveauet fortsat er tilstrækkeligt.

Privacy by design/default

Vi sikrer os, at løsninger, der anvendes til behandling af personoplysninger, er designet så de reducerer graden af indgriben i den registreredes privatliv.

Herudover sikrer vi, at personoplysninger ikke stilles til rådighed for andre, uden der har været en fysisk person involveret, hvilket betyder, at udlevering af personoplysninger til andre ikke må ske automatisk, for eksempel som følge af en proces.

 

6.11. Håndtering af brud på persondatasikkerheden

Anmeldelse til Datatilsynet

Såfremt der skulle ske et brud på persondatasikkerheden, anmelder vi det uden unødig forsinkelse og senest 72 timer, efter vi har opdaget det, til Datatilsynet. Hvis det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder, er vi ikke forpligtet til at anmelde det.

Underretning til den registrerede
Hvis bruddet sandsynligvis vil indebære høj risiko for de registreredes rettigheder eller frihedsrettigheder, underretter vi endvidere de registrerede om bruddet uden unødig forsinkelse og oplyser om, hvad konsekvensen for dem er.

 

6.12. GDPR-driftsorganisationen

Behandlingsskolerne tager ansvar for behandlingen af personoplysninger, hvorfor vi valgt at etablere en GDPR-driftsorganisation med en DPO i spidsen. GDPR-driftsorganisationen har ansvaret for at sikre, at Behandlingsskolerne er bekendt med og overholder de til en hver tid gældende regler på databeskyttelsesområdet. GDPR-driftsorganisationen har derudover det overordnede ansvar for, at de nødvendige politikker og retningslinjer er udarbejdet, kommunikeret og implementeret hos Behandlingsskolerne.

 

6.13. Kryptering af mailkorrespondance

Behandlingsskolerne krypterer al udgående mailkorrespondance i det omfang at korrespondancen indeholder persondata. Der tillades kryptering med TLS 1.2, såfremt både afsender og modtager har det aktiveret. Dette kontrolleres. Alternativt fremsendes med brug af eBoks. I kommunikation med offentlige myndigheder anvendes tunnelkryptering.

 

7. Kontakten til Datatilsynet

Såfremt Datatilsynet skulle foretage tilsyn eller rette henvendelse til Behandlingsskolerne, sikres det, at Datatilsynet får den efterspurgte og rette information, herunder fortegnelserne over be-handlingsaktiviteter.
Endvidere sikrer vi, at vi til enhver tid overholder de tidsfrister, som Datatilsynet måtte stille i forbindelse med et tilsyn eller en henvendelse.

 

8. Dokumentation

Vi sikrer, at overholdelsen af denne databeskyttelsespolitik er dokumenteret, og at dokumentationen opdateres løbende.

 

9. Version

Dato Version Forfatter/godkendt af Ændringsbeskrivelse
10.06.2020 1.0 Arbejdsgruppen/Styregruppen Udarbejdelse af databeskyt­tel­ses­politik
19.08.2020 1.1. PST Tilpasset til hjemmeside.
21.08.2020 1.1.a PST Opdateret hjemmesideversion med respekt for koncerselskaber.
31.08.2020 1.1.b PST + API Tilrettet afsnit om behandlingsgrundlag og DPO.
12.01.2021 1.2 PST Tilføjet afsnit ang. mailkryptering. Markeret som endeligt.

 

Henvendelser 

Alle henvendelser vedr. denne persondatapolitik, bedes rettet på mail til gdpr@behandlingsskolerne.dk