IT-instruks og instruks om brug af persondata i Værløse Golfklub (VGK)
2018-05-25
1. Generelt
I denne IT-instruks finder du de regler, der gælder for brugen af VGKs IT-systemer samt brugen af de persondata, som VGK giver dig adgang til, til brug for udførelse af en eller flere opgaver for golfklubben. Persondata er alle data, der fortæller noget om en given person. Begrebet er altså meget bredt og omfatter eksempelvis: navn, e-mail, telefonnumre, medlemsnumre, men også ting som tøjstørrelse og resultater i en turnering.
VGK skal til enhver tid beskytte og værne om de persondata vi får fra medlemmer, gæster, ansatte og øvrige samarbejdspartnere, så vi overholder de persondataretlige regler. Derfor pålægger vi også enhver, der har adgang til persondata i eller fra VGK at efterleve de retningslinjer, der er angivet i denne instruks. Data må ikke kopieres eller videregives til personer, der ikke har legitim adgang til disse.
2. Computere, telefoner og andet der benyttes til at tilgå data
Ethvert apparat der kan benyttes til eller giver adgang til VGKs data, skal være beskyttet af passwords og/eller biometrisk sikring (fingeraftryks-løsning). Se mere om kravene til passwords nedenfor. Du skal låse apparatet, når du forlader det, også selvom det kun er for kortere tid, når du sidder og arbejder med VGKs data. Apparatet skal være beskyttet, så fornyet adgang skal etableres hvis apparatet har været ubenyttet længere en [15 (kan evt. differentieres afhængigt af om der er tale om en telefon, en computer eller noget helt tredje] minutter. Dette omfatter også private apparater som computere, telefoner og andre enheder, som du måtte benytte til at læse eller opbevare mails og dokumenter fra VGK.
3. Opbevaring af data/arkivering
3.1 Fysiske data
Fysiske persondata er oplysninger om personer i notesbøger, protokoller, fysiske print m.v.
Følsomme persondata og oplysninger om CPR-numre, lovovertrædelser og straffedomme skal beskyttes med en højere grad af sikkerhed, end almindelige persondata, da det kan have langt større konsekvenser for personen bag data, hvis dataene kommer i de forkerte hænder.
Har du med almindelige persondata at gøre, skal du generelt huske at rydde op efter dig, hente print i printeren o. lign. så persondataene ikke bliver delt med uvedkommende personer.
Har du følsomme persondata, oplysninger om CPR-numre, lovovertrædelser eller straffedomme på trykte medier skal disse være låst inde, når du ikke benytter dem, og når du forlader kontoret. Sådanne oplysninger vil sædvanligvis kun haves om ansatte i VGK Golfklub, og disse skal kun deles med dem i klubben, som har et behov for at se disse. Haves sådanne oplysninger om andre end de ansatte, skal de håndteres som beskrevet oven for.
3.2 Elektroniske data
Elektroniske persondata er oplysninger om personer i IT-systemer, på telefoner, på USB-stick og anden elektronisk form.
Alle data skal opbevares i programmer, der er installeret eller godkendt af VGK. Du må ikke selv installere ny software eller downloade programmer fra internettet, som benyttes til at tilgå VGKs data. Dette betyder også, at du ikke må downloade eller benytte alternative fildelingstjenester end det, som VGK har instrueret dig om at benytte.
3.2.1 Dataopbevaring lokalt
Persondata, der opbevares lokalt (onsite), skal opbevares på enheder (Server, NAS osv.), der er beskyttet af password. Enhederne skal opbevares i aflåst lokale. Det anbefales, at lokalet er tyverisikret.
I tilfælde af at systemerne skal serviceres, så skal der indgås aftale med leverandøren om beskyttelse af data. I tilfælde af tyveri skal reglerne for sikkerhedsbrud følges, og ledelsen skal underrettes.
3.2.2 Dataopbevaring online
Alle persondata, der opbevares online, skal tilgås via en sikker forbindelse. Dette sker typisk via en browser, som understøtter https. eller lignende krypteret adgang. Kan du ikke se, om det er https der benyttes, så kontakt leverandøren for at sikre, at adgangen er krypteret. Dette sker typisk ved anvendelse af certifikater.
Digitale data skal være beskyttet af samme grad af sikkerhed som fysiske data og følsomme persondata skal beskyttes i højere grad end almindelige data, se ovenfor.
Alle data skal opbevares på en måde, så de kun deles med dem, der har et sagligt formål med dataene, ligesom arkivering af data skal ske efter samme retningslinjer.
Ved fratræden skal dine arkiver gøres tilgængelige for bestyrelsen.
Du må ikke opbevare persondata på dit C-drev, USB-nøgler eller lignende, hvor filer og oplysninger uforvarende kan blive slettet permanent eller lettere kan mistes og/eller komme til uvedkommendes kendskab.
Videregivelse af personoplysninger
Videregivelse af personoplysninger er en behandling omfattet af persondatareglerne. Medlemsoplysningerne må gerne videregives til andre medlemmer i golfklubben, når det har et sagligt formål. Således må medlemsoplysninger gerne deles i klubblad eller på lukkede hjemmesider, men de må ikke offentliggøres på offentligt tilgængelige hjemmesider uden samtykke fra de medlemmer, hvis oplysninger man ønsker at offentliggøre. Når du videregiver personoplysninger inden for klubben, skal du stadig kun videregive de oplysninger, der er relevante for den, du deler med. Hvis du bliver bedt om telefonnumre på en række medlemmer skal der ikke udleveres en liste, hvor også e-mailadresserne står.
Du skal være påpasselige med ikke at videregive personoplysninger uberettiget, f.eks. ved ukritisk at videresende mails, der selv eller i vedhæftede filer indeholder personoplysninger, som ikke burde videregives, eller ved utilsigtet at uploade eller udlevere dokumenter med personoplysninger, som ikke børe være tilgængelige for alle og enhver. Kollegaer, bestyrelsesmedlemmer m.v. kan også være uvedkommende, især når du behandler følsomme personoplysninger.
Vær opmærksom på, at sponsorer er selvstændige erhvervsdrivende, der ikke har noget med klubben at gøre, hvorfor medlemsoplysninger ikke må videregives til disse. Hvis golfklubbens pro og cafe-/restaurationsejer ikke er ansat af klubben, gælder det samme i forhold til disse.
3.3 Brugernavne og passwords
Det anbefales at brugen af fælles brugerkonti og passwords undgås. Ved fratrædelse/ophør med en funktion, skal brugernavne og passwords der er udleveret til disse personer ændres omgående.
Passwords du benytter i forbindelse med, at du tilgår VGKs persondata skal være forskelligt fra de passwords, du bruger til dine private gøremål, og skal være på mindst 8 tegn, bestående af 3 dele i form af store- og små bogstaver, tal og specialtegn. Du må ikke give dit password til andre, og du skal skifte dit password, hvis det bliver kendt af andre.
Passwords til systemer der indeholder personfølsomme data skal skiftes minimum hver 90. dag. I golfklubber vil det normalt kun være i oplysningerne om de ansatte i klubben, der vil være personfølsomme data i form af oplysninger om sygdomsforhold og/eller fagforeningsmæssige tilhørsforhold.
4. Sikkerhedsbrud
Ved ethvert brud eller mistanke om brud på sikkerheden skal klubbens ledelse omgående orienteres, der iværksætter foranstaltninger i henhold til beredskabsplanen.
Du skal kontakte ledelsen, hvis dine it-enheder har virus eller opfører sig mærkeligt. Du skal også kontakte ledelsen, hvis du har mistanke om, at antivirusprogrammet ikke virker korrekt.
Du skal være påpasselig ved modtagelse af mails og filer fra mærkelige afsendere, mails uden emneangivelse og henvendelser, der i øvrigt er mistænkelige.
5. Brug af e-mail
Alle former for persondata kan sendes på mail, hvis de pågældende persondata i øvrigt må videregives efter reglerne i persondatalovgivningen. Er der tale om følsomme data (eksempelvis oplysninger om sygdomsforhold på en af klubbens ansatte), bør det overvejes, om oplysningerne kan deles med de relevante på en anden måde end via mail. Dette kan eksempelvis være ved at lægge oplysningerne i fil delings løsning, hvor adgang til indholdet kræver adgangskode. Du kan stadig sende mail om, at de relevante personer skal gå ind og se dokumenterne, men undlad så vidt muligt at sende selve de følsomme oplysninger ud af golfklubbens system, hvor du mister kontrollen med data.
Du skal med jævne mellemrum slette de e-mails, modtagne, gemte og sendte, der indeholder persondata og ikke længere er aktuelle og ikke skal arkiveres. Sletningen skal være permanent.
Såfremt du bruger en privat mail til at modtage golfklubbens mails på, skal du sikre dig, at du har den nødvendige sikkerhed på denne mail/computer, at der ikke er andre der har adgang til denne mail, eksempelvis må du ikke dele mailen med din ægtefælle, og endelig bør du undlade at downloade og gemme oplysninger hjemme på din egen computer. Hvis du alligevel gemmer det modtagne hos dig privat, skal du sikre dig, at oplysninger ikke er tilgængelige for andre i din husstand, og at de slettes fra din computer, så snart du ikke længere har behov for oplysningerne.
6. Adgang til VGKs administrationssystemer GolfBox, lønsystemer, økonomisystemer m.m.
Det er golfklubbens sekretariat/bestyrelse, der administrerer adgange til administrationssystemerne. Adgangene til systemerne skal løbende tilpasses, så det alene er dem der har behov for adgang, der rent faktisk har det. Ansatte, bestyrelsesmedlemmer og frivillige skal have adgang til de personoplysninger, som de har brug for til løsning af deres opgave, men ikke mere. Bliver du opmærksom på, at du kan se flere oplysninger, end du har brug for, eller at din adgang forbliver åben, uanset at du ikke længere deltager i bestyrelsen eller frivilligt arbejde, skal du bede om, at din adgang til systemet lukkes ned.
De persondata som du gives adgang til må alene anvendes til brug for din opgave i VGK.
7. Databehandling
7.1 Informationssøgning
Det er forbudt at søge efter personinformationer der ikke er relevant for det arbejde der skal udføres.
Får man kendskab til at man har adgang til data man ikke burde have adgang til, så skal man uden unødigt ophold meddele dette til klubbens daglige ledelse.
7.2 Eksport/udsendelse af data
Der skal udvises omhu med hvilke persondata der deles med andre. Reglen er som udgangspunkt følgende:
Der må kun udleveres de persondata der er nødvendige for at kunne udføre en specifik opgave.
Modtageren skal gøres opmærksom på sit ansvar for betryggende opbevaring og sletning.
Personfølsomme data som CPR-nummer, sygdomsforløb, religion osv. må som udgangspunkt ikke udleveres til andre end relevante myndigheder.
Data skal sendes/udleveres ad sikre kanaler.
Ved udsendelse til større grupper, så skal deres kontaktoplysninger (f.eks. e-mails) være skjult for modtagerne, for eksempel ved brug af BCC funktionen.
7.3 Sletning af persondata
Følgende data skal slettes fra klubbens datalagre. Datalagre er også de lagre der indehaves af medlemmer, partnere m.m. Det gælder både trykte og digitale medier.
Data der ikke længere er relevante for udførelsen af en opgave
Data der skal slettes som følge af tilbagekaldelse af samtykke fra personen hvis data der er tale om
Data der ikke længere skal opbevares som følge af lovgivning
8. Beredskab
Sikkerhedsbrud skal meddeles til bestyrelsen/sekretariatet, der forestår den videre håndtering og dokumentation af sikkerhedsbruddet.
9. Sanktionering
Overtrædelse af denne politik vil blive sanktioneret. Det er klubbens bestyrelse der fastsætter sanktionen. Sanktionen kan strække sig fra en skriftlig advarsel til eksklusion/afskedigelse fra klubben.
Værløse Golfklub 25. maj 2018.