Introduktion

Formål
Formålet med dette dokument er at dokumentere, at Pravda A/S overholder kravene til behandling af persondata.

Pravda A/S behandler i minimalt omfang persondata og benytter primært branche–IT-løsninger til behandlingen. I det følgende dokumenteres persondatabehandlingen samt de tekniske og organisatoriske sikkerhedsforanstaltninger, der er etableret i forbindelse med behandlingen.

Databeskyttelsesrådgiver (DPO)
Behandling af persondata er udelukkende af almindelig personalemæssig og kundekartotek–karakter. Dvs. at behandlingen af persondata ikke er en del af kerneaktiviteterne og har et minimalt omfang. Derfor vurderer Pravda A/S, at det ikke er nødvendigt at have en databeskyttelsesrådgiver tilknyttet. 

Kontaktdata på persondataansvarlige
Mette Guldbæk Pedersen, projektleder og PA for CEO, telefon 53 53 41 45, mgp@pravda.dk
Mette Hejl, CEO, telefon 40 43 13 55, mh@pravda.dk

Definition af registrerede og leads
Registrerede dækker over alle personer indskrevet i Pravda A/S’ systemer, herunder leads, kunder, leverandører og tidligere kunder. Leads er besøgende via hjemmesiden, personer, som kontakter Pravda A/S direkte, samt personer, som Pravda A/S er i kontakt med, men som ikke er aktive kunder.

Opbevaring af persondata

Procedurer i forbindelse med henvendelser fra registrerede
Hos Pravda A/S håndteres alle anmodninger fra de registrerede om udøvelsen af deres rettigheder af det administrative personale. I persondatapolitikken, som alle ansatte og registrerede er bekendt med, er kontaktdata for disse henvendelser anført.

De registreredes vigtigste rettigheder efter databeskyttelsesforordningen er:  

— retten til at modtage oplysning om behandling af egne persondata
— retten til at få indsigt i egne persondata
— retten til at få egne urigtige persondata rettet
— retten til at få egne persondata slettet
— retten til at gøre indsigelse mod, at persondata anvendes til direkte markedsføring
— retten til at gøre indsigelse mod automatiske individuelle afgørelser
— retten til at flytte egne persondata (dataportabilitet).

Alle ovenstående rettigheder håndteres manuelt ved henvendelse som anført i persondatapolitikken.

Datapolitik for behandling af personoplysninger om kunder og leads

Dataansvarlig
Pravda A/S er dataansvarlig for behandlingen af personoplysninger om kunder og leads.

Formålet med behandlingen
Der behandles almindelige personoplysninger med det formål at kunne leve op til Pravdas forpligtelser i aftalen med kunden, herunder til at levere de bestilte ydelser, rådgivning eller produkter, kontakte kunden i forbindelse med igangværende opgaver samt til brug for efterfølgende fakturering.

Grundlag for behandlingen
Retsgrundlaget for behandlingen af personoplysninger om kunder og leads er enten: 

Behandlingen sker med henblik på at opfylde vores forpligtelser i den indgåede aftale med kunden eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en kontrakt, jf. persondataforordningens artikel 6, stk. 1, litra b.

Eller:

Behandlingen sker på baggrund af interesseafvejningsreglen, jf. persondataforordningens artikel 6, stk. 1, litra f.

Kategorier af registrerede
Kunder og leads.

Kategorier af persondata

— Navn
— Stilling/titel
— Adresse, telefon, e-mail
— Fakturaer
— Mødereferater
— Briefings
— Tilbud
— Korrespondance
— Billeder/videoer

Kategorier af modtagere
Persondataene videregives ikke til nogen uden for organisationen ud over, hvor nødvendigt, databehandlere og underdatabehandlere.

Databehandlere/underdatabehandlere

— Google
— Apple
— Microsoft
— Clarus
— Inspari
— Vimeo
— Facebook
— LinkedIn
— Instagram
— WeTransfer
— Hubspot
— Structure

Opbevaring/sletning
Opbevaring og sletning af persondata sker i fuld overensstemmelse med persondatalovgivningen. Pravda A/S tager blandt andet hensyn til frister i lovgivningen, for eksempel forældelses- og bogføringsloven. 

Pravda A/S sletter data, når der ikke længere er noget sagligt behov for fortsat opbevaring af dataene. 

Fem år efter sidste faktura slettes al kundehistorik fra arkivet, både fysisk og elektronisk. Alle fakturaer opgøres én gang årligt i forbindelse med regnskabsår. Alle kundeprojekter kan blive opbevaret på arkivet herefter. Efter at e-mails er slettet, opbevares de i 30 dage, før de bliver slettet fra e-mailserveren. Overvågningsoptagelser fra Pravda A/S slettes efter 30 dage, medmindre de skal gemmes på grund af en aktiv sag.

Risikovurdering
— Fortrolighed: Det vurderes, at tab af fortrolighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Persondataene, der behandles, vil ofte være offentligt tilgængelige på kundens firmahjemmeside.
— Integritet: Det vurderes, at tab af integritet ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring fakturering og historik på opgaver, hvorfor både IT-systemer og administrative processer i forbindelse med databehandlingen skal beskytte mod tab af integritet.
— Tilgængelighed: Det vurderes, at tab af tilgængelighed ikke vil have nogen nævneværdig indflydelse på de registreredes rettigheder og frihedsrettigheder. Det kan dog medføre udfordringer med de administrative processer omkring fakturering og historik på opgaver, hvorfor både IT-systemer, i særdeleshed backup, og administrative processer i forbindelse med databehandlingen skal beskytte mod længerevarende tab af tilgængelighed.

Tekniske og organisatoriske sikkerhedsforanstaltninger
Pravda A/S har som dataansvarlig pligt til at beskytte de persondata, der opbevares om kunderne. Persondata opbevares eller behandles i ovenstående IT-systemer. Pravda A/S henviser i øvrigt til IT-sikkerhedspolitikken. Alle ansatte har adgang til kundens data, da det har relevans i forhold til det daglige arbejde. 

Se ydermere sektionen ”Supplerende bemærkninger om generelle organisatoriske og tekniske foranstaltninger”.

Kendte sårbarheder og planlagte forbedringer
Der er på nuværende tidspunkt ikke nogen specifikke kendte sårbarheder eller planlagte forbedringer.

Datafortegnelse over behandlingsaktiviteter

Artikel 30–fortegnelse: Pravda som dataansvarlig – kunder og leads

Supplerende bemærkninger 

– generelle organisatoriske og tekniske foranstaltninger

Pravda A/S har implementeret følgende organisatoriske og tekniske foranstaltninger generelt:

— Antivirus på alle IT-systemer, der behandler persondata.
— Backup af alle IT-systemer, der behandler persondata.
— Anvendelse af branchetypiske IT-systemer til behandlingsaktiviteterne.
— Adgangsbegrænsning til persondata, så der kun gives adgang, hvor det er nødvendigt.
— Databehandleraftaler med leverandører, der behandler persondata på vegne af Pravda A/S.
— Personale er underlagt passende fortrolighedsforpligtelser.
— Vejledning i sikker behandling af persondata og informationsaktiver for personale med adgang til informationssystemer.
— Gennemførelse af ovenstående risikovurdering og dokumentation af alle systemer, der behandler persondata. 

Sletteregel

Opbevaring og sletning af persondata sker i fuld overensstemmelse med persondatalovens bestemmelser. Pravda A/S tager blandt andet hensyn til frister i lovgivningen, for eksempel forældelses- og bogføringsloven. Persondata om registrerede slettes, når der ikke længere er noget sagligt behov for fortsat opbevaring.

Specielt for kunder:
Pravda A/S sletter data, når der ikke længere er noget sagligt behov for fortsat opbevaring af dataene. Fem år efter sidste faktura slettes al kundehistorik fra arkivet. Alle fakturaer opgøres en gang årligt i forbindelse med regnskabsår. Alle kundeprojekter kan blive opbevaret på arkivet herefter. Efter at e-mails er slettet, opbevares de i 30 dage, før de bliver slettet fra e-mailserveren. Overvågningsoptagelser fra Pravda A/S slettes efter 30 dage, medmindre de skal gemmes på grund af en aktiv sag.

IT-regler og adfærd hos Pravda A/S

Pravda A/S følger ensartede regler og adfærd, der er i overensstemmelse med lovgivningen. Nedenfor ses reglerne, som er relevante i forbindelse med brugen af IT.

IT-sikkerhedspolitik 

Introduktion
Denne IT-sikkerhedspolitik udgør den overordnede ramme for at opretholde IT-sikkerheden hos Pravda A/S. Hermed demonstreres vor seriøse holdning til at skabe sikkerhed for persondata, systemer og andre IT-aktiver.

Hensigten er at lægge et fundament, så kritiske og fortrolige informationer og systemer kan bevare deres fortrolighed, integritet og tilgængelighed.

Der bliver fokuseret på de vigtigste krav i EU’s generelle persondataforordning samt på relevante krav i de internationale IT-sikkerhedsstandarder ISO 27001 og 27002.

Formål
Idet brugen af IT anses for at være en meget vigtig forudsætning for virksomhedens virke, vil det være nødvendigt at sikre virksomhedens IT-ressourcer (data, software, hardware og kommunikationsforbindelser). 

Derfor etableres og vedligeholdes en afbalanceret IT-sikkerhed, som i denne sammenhæng omfatter alle nødvendige organisatoriske, fysiske og tekniske sikkerhedsforanstaltninger.

IT-ressourcerne skal med andre ord beskyttes mod misbrug, manipulation, ødelæggelse og tab samt mod at blive fejlbehæftet. Beskyttelsen skal virke mod alle former for trusler, interne eller eksterne, hændelige eller bevidste.

Overordnede mål og principper
Pravda A/S ønsker at opnå:

— fortrolighed, integritet og tilgængelighed af persondata i overensstemmelse med kravene i EU’s persondataforordning
— høj driftssikkerhed og minimeret risiko for større nedbrud og tab af data
— opretholdelse af et image som en virksomhed, der demonstrerer kvalitet og sammenhæng i brugen af IT.

IT-sikkerhedspolitikken skal danne grundlag for at forebygge og begrænse skader til en for Pravda A/S kendt og accepteret størrelse samt sikre fortsat IT-drift efter et sikkerhedsbrud – inden for en nærmere defineret tidshorisont. 

Vigtige grundprincipper for sikkerhedsarbejdet

Adgang til ressourcer
Den daglige leder, Mette Hejl, CEO, beslutter, hvem der skal have adgang til hvilke ressourcer og hvornår. En udpeget IT-ansvarlig, der kan være en ansat med IT- eller IT-sikkerhedsviden eller en ekstern IT-konsulent, installerer herefter rettigheder/begrænsninger i overensstemmelse med den daglige leders beslutninger. Når installationen er afsluttet, sender den IT-ansvarlige en e-mail til bestyrelsen eller et medlem af bestyrelsen om, hvad han har foretaget sig. Så kan bestyrelsen efterfølgende orientere sig hos den daglige leder om formålet med den gennemførte ændring. Ændringen og begrundelsen tages med i referatet til næste bestyrelsesmøde.

Sikkerhedsforanstaltninger
Den daglige leder beslutter omfang og styrke af de sikkerhedsforanstaltninger, som det findes nødvendigt at installere. Den IT-ansvarlige installerer de tekniske foranstaltninger, mens den daglige leder står for formuleringen af de administrative foranstaltninger (evt. retningslinjer og instrukser). Se risikooversigten. Det er ikke tilladt at anvende privat IT-udstyr til at udføre arbejde for Pravda A/S eller til at koble sig op på Pravda A/S’ systemer. Se også herunder i forbindelse med databehandlere/underdatabehandlere.

Styring af sikkerhedshændelser
Pravda A/S vil løbende sikre en vurdering af eventuelle hændelser, der kan true sikkerheden, så risikobilledet kan opdateres ved gennemgang af såvel kendte som nye trusler og sårbarheder, og eventuelle nye tiltag kan indføres. Den daglige leder rapporterer overordnet til bestyrelsen om de hændelser, der måtte være sket, og informerer om det opdaterede risikobillede, når væsentlige ændringer er indtruffet.

Dokumentation
Der skal udarbejdes skriftlige procedurer for alle væsentlige sikkerhedsaktiviteter, og det skal kunne dokumenteres, at de har været gennemført. 

Sikkerhed i forbindelse med databehandlere/underdatabehandlere
Leverandører, der helt eller delvist står for drift eller brug af Pravda A/S’ systemer, skal overholde Pravda A/S’ krav til IT-sikkerhed. De skal også sikre, at der er mulighed for løbende at kunne kontrollere og følge op på deres sikringsforanstaltninger. 

I forbindelse med at der bliver indgået en kontrakt med databehandlere/ underdatabehandlere, skal der udarbejdes en databehandleraftale, der i detaljer beskriver de sikkerhedskrav, som leverandøren skal leve op til. Visse databehandlere for Pravda A/S skal en gang årligt stille en revisionserklæring om, at IT-sikkerheden er i orden i henhold til revisionsstandard 3411, type B. For de databehandlere, der ikke stiller en revisionserklæring til rådighed, har Pravda A/S mulighed for at foretage inspektioner og audit hos databehandleren og påse, at IT-sikkerheden er i orden, og at kravene efter databehandleraftalen og persondatalovgivningen overholdes.

De konkrete mål
Det regelsæt, der styres efter, er baseret på den internationale standard ISO/IEC 27000-serie. Herved opnås en direkte kobling fra sikkerhedspolitikken til de underliggende retningslinjer og instrukser, der peges på i standarderne. 

Hovedpunkterne i regelsættet/retningslinjerne

Overordnede retningslinjer (informationssikkerhedspolitikker)
Vi har brug for et sikkerhedsniveau afstemt efter de forretningsmæssige behov. Ledelsen vil derfor sammenfatte overordnede krav i en IT-sikkerhedspolitik.

Organisering af sikkerhedsarbejdet
Den daglige leder er ansvarlig for den overordnede IT-sikkerhed samt for udformning af en IT-sikkerhedspolitik. Samtidig er det den daglige leder, der beslutter, hvem der skal have adgang til hvilke IT-ressourcer og hvornår. En udpeget IT-ansvarlig installerer rettigheder/begrænsninger i overensstemmelse med disse beslutninger

Styringen sker i en proces, hvor der gennemføres risikovurdering, målfastlæggelse, planlægning, gennemførelse, overvågning og opfølgning – i en tilbagevendende cyklus.

Sikkerhed for ansatte
Der skal informeres og stilles krav om IT-sikkerheden til den ansatte før og under ansættelsen samt efter ansættelsens ophør eller ændring. Specielt vil der være særlige sikkerhedskrav forbundet med arbejde i hjemmet eller ved andet arbejde uden for kontoret.

Styring af aktiver
Pravda A/S’ IT-aktiver (software, data, eller fysiske enheder) skal identificeres og registreres, så det er muligt at definere, hvilke der er kritiske, vigtige eller sensitive for Pravda A/S.

Hertil er det nødvendigt at udpege en ejer for hvert aktiv, således at denne har ansvaret for korrekt håndtering af det enkelte aktiv.

Klassifikation skal sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen.

I forhold til mediehåndtering skal det forhindres, at uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af information lagret på medier (inkl. papirmedier) finder sted.

Bortskaffelse af medier: Medier, som indeholder fortrolig information, skal lagres og bortskaffes forsvarligt, for eksempel ved ødelæggelse, makulering eller sletning af data.

Transport af fysiske medier: Medier med fortrolig information skal beskyttes mod uautoriseret adgang, misbrug eller ødelæggelse under transport. Dette gælder alt lige fra bærbare computere og tablets til mobiltelefoner.

Adgangsstyring
Der skal gennemføres styring af den generelle adgang til virksomhedens systemer, informationer og netværk/servere med udgangspunkt i de forretnings- og lovgivningsbetingede krav.

Der skal desuden kunne gennemføres begrænsninger i adgangen til specifikke systemer og data ved at definere brugerroller og ved at tildele privilegerede adgangsrettigheder.

Procedurer for brugerregistrering og -afmelding samt for tildeling af brugeradgang er etableret.

System- og dataejere bør med jævne mellemrum gennemgå tildelte rettigheder for at konstatere, om de fortsat er gældende.

Der skal gøres brug af sikre adgangskoder/passwords samt sikker log-on; begge dele beskrives i særskilt procedure (”IT-adfærd hos Pravda A/S”).

Kryptering
Der skal tages stilling til, i hvor høj grad der skal gøres brug af kryptering af såvel lagrede data som data under transmission.

Behovet for at anvende kryptering baseres på en risikovurdering. Ansvaret for det praktiske arbejde samt for nøgleadministration vil i givet fald blive beskrevet i procedurer.

Fysisk sikring og miljøsikring
Kritisk IT-udstyr skal være anbragt i sikre områder beskyttet af de nødvendige fysiske barrierer, adgangskontroller samt alarmer for at minimere risikoen for uheld og ulykker. Endvidere skal kritisk udstyr sikres mod forsyningssvigt (blandt andet el-, vand- og teleforbindelser).

Driftssikkerhed
Driftssikkerhed drejer sig om at opnå korrekt og sikker drift af faciliteterne, der behandler information.

Heri indgår dokumentering af procedurer for drift og softwareinstallation samt styring af de ændringer, der løbende forekommer, og som kan påvirke informationssikkerheden.

Endvidere skal der indføres sikkerhedsforanstaltninger, der kan opdage og forhindre sikkerhedsbrud forårsaget af malware samt efterfølgende sikre genstart af driftssystemerne.

For at sikre, at al væsentlig information, software og systemer kan genskabes efter et nedbrud/sikkerhedsbrud, skal der foreligge en backupplan, som følges i praksis. Endelig skal der, hvor det er muligt, gennemføres løbende logning og overvågning af brugeraktivitet med henblik på at kunne dokumentere hændelsesforløbet i forbindelse med et sikkerhedsbrud.

Desuden skal der gennemføres en styring af tekniske sårbarheder for at forhindre, at disse udnyttes i skadeligt øjemed.

Kommunikationssikkerhed
Pravda A/S’ interne netværk skal styres og overvåges samt have installeret passende sikkerhedsforanstaltninger. De forskellige brugergrupper på netværket skal opdeles, så grupperne bliver adskilt.

Ved overførsel af informationer til eksterne samarbejdspartnere eller registrerede skal der gøres særlige overvejelser om, hvilket sikkerhedsniveau der skal benyttes.

Blandt andet kan der blive tale om at etablere særlige aftaler om fortrolighed og hemmeligholdelse samt brug af kryptering, når det drejer sig om data af højeste klassifikation.  

Anskaffelse, udvikling og vedligeholdelse af systemer
Sikkerhed skal indgå som en integreret del af de systemer, der understøtter virksomhedens daglige drift. Det vil sige, at krav til sikkerhed skal specificeres i forbindelse med anskaffelse, udvikling og vedligeholdelse af systemerne. Sikkerhedskravene skal være begrundede, aftalte og dokumenterede. Formulering af sikkerhedskravene bør ske på basis af en risikovurdering.

Særlige overvejelser skal ske vedrørende brugen af persondata i forbindelse med testforløb.

Databehandlere/underdatabehandlere
Databehandling skal være baseret på en databehandleraftale, som sikrer, at virksomhedens IT-sikkerhedspolitik ikke skades. Aftalen skal indeholde principielle og konkrete krav til IT-sikkerheden hos leverandøren samt til, hvordan kommunikationen mellem Pravda A/S og leverandøren skal sikres. Der skal om nødvendigt leveres underskrevne erklæringer om IT-sikkerheden eller revisorerklæringer, og der skal gives mulighed for inspektion af IT-sikkerheden i særlige situationer (dette skal kontraktligt aftales).

Styring af brud på informationssikkerhed
Styring af brud på informationssikkerhed betegnes også ”Information Security Incident Management”. Det skal sikre en ensartet og effektiv metode til at styre sikkerhedsbrud – herunder kommunikation om sikkerhedstruende hændelser og svagheder.

Ting, der bør beskrives, er blandt andet: ansvar og procedurer, hændelsesrapportering, rapportering af svagheder, vurdering af hændelser, håndtering af sikkerhedsbrud, opsamling af erfaring fra sikkerhedsbrud samt indsamling af beviser (der i givet fald kan bruges i en retslig tvist).

Beredskabsstyring m.m.
Beredskabsstyring handler om ”sammenhæng i informationssikkerhed”. Det skal gerne forankres i Pravda A/S’ generelle procedurer for nød-, beredskabs- og reetableringsstyring. Pravda A/S skal indføre beredskabsstyring som en løbende opgave med det formål at begrænse konsekvenserne ved katastrofer, sikkerhedsbrud og mistet tilgængelighed.

Det indebærer specifikation af krav til beredskab samt af beredskabsplaner. Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser konsekvenserne ved skadelige hændelser og sikrer rettidig reetablering af kritiske forretningsprocesser.

En nødplan skal sikre muligheden for hurtigst muligt at reetablere normal drift efter en større katastrofe (brandskade, vandskade mv.)

For at omgå (mindre) tekniske problemer kan det overvejes at have ekstra udstyr parat.

Hvordan sikres data hos Pravda A/S?

Netværk
Pravda A/S’ netværk er koblet på internet via en fiberforbindelse fra Nianet. Der er opsat en firewall, der adskiller det interne netværk fra internettet. Firewall bliver løbende holdt opdateret og overvåget af ekstern leverandør, og uregelmæssigheder bliver rapporteret til ledelsen i Pravda A/S. Adgang til interne servicer udefra er kun tilgængelig via en VPN-forbindelse.

Arbejdsstationer er som udgangspunkt koblet på det interne netværk via kabel, men der er også opsat trådløst netværk for at forøge fleksibiliteten.

Det trådløse netværk er splittet op i to dele. De ansatte i Pravda A/S har adgang til et, der giver adgang til at bruge interne servicer, mens gæster hos Pravda A/S har adgang til et andet trådløst netværk, der KUN giver adgang til at komme på internettet.

Det trådløse netværk bliver løbende holdt opdateret med sikkerhedsopdateringer af ekstern leverandør.

Server(e)
De interne servere bliver løbende overvåget og sikkerhedsopdateret af ekstern leverandør. Der bliver dagligt taget backup både til et internt system og til en remote server.

Adgang til servicer på servere kræver unikt brugernavn/password, og adgangen til ressourcer er for den enkelte bruger begrænset af, hvilke rettigheder de er blevet tildelt. Det er muligt for brugere at tilgå servicer hjemmefra ved at benytte en VPN-forbindelse.

Der bliver løbende lavet en gennemgang/revision af brugerrettigheder på systemerne, og i samarbejde mellem ledelse og IT-afdeling bliver disse løbende justeret.

Arbejdsstationer
For at beskytte mod datatab er harddiske på arbejdsstationer krypterede. Der er installeret antivirussoftware til at beskytte mod virus/malware, desuden er firewall slået til. Brugere har individuelle logins. Ved start og hvis bruger forlader sin arbejdsstation, vil de blive bedt om at indtaste deres adgangskode. Selve brugen af arbejdsstationen er beskrevet under ”Retningslinjer for IT-adfærd”. 

Der bliver ikke taget backup af arbejdsstationer, da data som udgangspunkt bliver gemt på server, så der må ikke ligge kunderelateret data på arbejdsstationer.

Maskinerne bliver løbende holdt opdateret med sikkerhedsopdateringer.