Cookiepolitik

Vores hjemmeside www.lavuk.dk bruger cookies. Cookies bruges på næsten alle hjemmesider, og i nogle tilfælde er anvendelsen af cookies den eneste måde hvorpå at en hjemmeside kan fungere.

Hvad er en cookie?

Cookies anvendes af stort set alle websites. I nogle tilfælde er cookies den eneste måde at få et website til at fungere efter hensigten.

En cookie er en fil, som lægges på din computer eller andet it-udstyr. Den gør det muligt at genkende din computer og samle information om, hvilke sider og funktioner, der besøges med din browser. Men cookies kan ikke se, hvem du er, hvad du hedder, hvor du bor eller om computeren bruges af en eller flere personer. Den kan heller ikke sprede computervirus eller andre skadelige programmer.

Denne hjemmeside anvender cookies. Du får information om, at vi sætter cookies, inden de sættes.

Slå cookies som vi bruger her på siden til og fra

Denne hjemmeside bruger cookies. Vi bruger cookies til at tilpasse vores indhold og annoncer, til at vise dig funktioner til sociale medier og til at analysere vores trafik. Vi deler også oplysninger om din brug af vores website med vores partnere inden for sociale medier, annonceringspartnere og analysepartnere. Vores partnere kan kombinere disse data med andre oplysninger, du har givet dem, eller som de har indsamlet fra din brug af deres tjenester. Du samtykker til vores cookies, hvis du fortsætter med at anvende vores hjemmeside.

Cookies er små tekstfiler, som kan bruges af websteder til at gøre en brugers oplevelse mere effektiv.

Loven fastslår, at vi kan gemme cookies på din enhed, hvis de er strengt nødvendige for at sikre leveringen af den tjeneste, du udtrykkeligt har anmodet om at bruge. For alle andre typer cookies skal vi indhente dit samtykke.

Dette websted bruger forskellige typer af cookies. Nogle cookies sættes af tredjeparts tjenester, der vises på vores sider.

Du kan til enhver tid ændre eller tilbagetrække dit samtykke fra Cookiedeklarationen på vores hjemmeside.

Få mere at vide om, hvem vi er, hvordan du kan kontakte os, og hvordan vi behandler persondata i vores Privatlivspolitik.

Procedure for håndtering af brud på persondatasikkerheden

Sådan gør Lavuk, hvis der opstår et brud

Indledning

• I tilfælde af at der opstår et brud på persondatasikkerheden, anmelder Lavuk dette uden unødig forsinkelse og senest 72 timer efter, at I som dataansvarlige er blevet gjort bekendt med dette. Behandler I data som databehandler, skal I straks underrette den dataansvarlige, så den dataansvarlige kan agere efter samme procedure, så der anmeldes og underrettes rettidigt til henholdsvis tilsynsmyndigheden og de registrerede. Denne forpligtelse har dem, som udfører databehandling for jer, også.

• I denne procedure vil det være beskrevet, hvornår der skal anmeldes til tilsynsmyndigheden, og hvad indholdet af denne anmeldelse skal vedrøre, ligesom det vil være beskrevet, hvornår de registrerede skal underrettes, og hvad indholdet af en sådan skal være.

Et brud

• Ved et brud på persondatasikkerheden forstås et brud som fører til hændelig eller ulovlig tilintetgørelse, tab, ændring uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Altså er der tale om en situation, der har medført, at persondata ikke har været behandlet sikkert, som har forårsaget en risiko for de registrerede.

• Alle brud og mindre brister, og mistanke herom, skal dokumenteres (bilag A). Eksempler hvor der kan være tale om et brud kan være, hvis I bliver hacket, hvis en mail, indeholdende persondata, videresendes til en forkert modtager, hvis nogen glemmer et USB-stik med persondata på et offentligt sted, hvis uvedkommende får adgang til persondata på grund af manglende fysisk sikkerhed, og hvis persondata slettes ved en fejl m.v.

• Medfører bruddet en risiko for de registreredes rettigheder eller frihedsrettigheder, skal det anmeldes til datatilsynet, mens der ved en høj risiko også er et krav om at underrette de registrerede.

• Helt konkret vil der bl.a. være tale om en risiko, når der mulighed for diskrimination, identitetstyveri, økonomisk tab, skade på omdømme, social ulempe eller væsentlig økonomisk ulempe.

• Den ansvarlige for it- og persondatasikkerhed i jeres virksomhed må altså sørge for at afhjælpe situationen, foretage en risikovurdering, sørge for at I internt dokumenterer samtlige hændelser, ligesom den ansvarlige skal sørge for behørig anmeldelse og underretning.

Risikovurdering

• I forbindelse med, at der skal udarbejdes en risikovurdering, der tager udgangspunkt i den risiko, der eksisterer for de registrerede, og som er opstået som følge af bruddet på persondatasikkerheden, kan der med fordel tages udgangspunkt i:

o Identificering af brudtypen

o Omfanget af de persondata, der er berørt af bruddet og angivelse af, hvilken persondatatype de udgør

o Antallet af berørte registrerede, og hvilken kategori disse henføres under

o Risikoen for, at den registrerede kan identificeres

o Identificering af de mulige konsekvenser

Anmeldelse til tilsynet

• I forbindelse med, at der er blevet konstateret et brud, som indebærer en risiko for de registreredes rettigheder, er det vigtigt, at Datatilsynet bliver underrettet, inden der er gået 72 timer fra tidspunktet, hvor bruddet blev konstateret.

Indholdet af en anmeldelse (Bilag B) skal i korte træk omfatte:

• En beskrivelse af karakteren af bruddet på persondatasikkerheden

• Angivelse af navn på og kontaktoplysninger på databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

• En beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden

• En beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet, for at håndtere bruddet på persondatasikkerheden.

Anmeldelsen skal sendes via den digitale indberetningsløsning hos Datatilsynet.

Underretning til de registrerede

• Hvis der er blevet konstateret et brud, og det indebærer en høj risiko for de registreredes rettigheder, er det – foruden at være en pligt – også vigtigt at underrette de registrerede herom, så de har mulighed for at træffe de fornødne forholdsregler. Underretningen (Bilag C) skal ske uden unødig forsinkelse og skal ske direkte til den registrerede.

• I særlige tilfælde vil det ikke være nødvendigt at underrette den registrerede. For yderligere information herom henvises der til Datatilsynets vejledning om brud.

Indholdet af underretningen er i korte træk:

• En beskrivelse karakteren af bruddet på persondatasikkerheden

• Angivelse af navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

• Beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden

• Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet, for at håndtere bruddet på persondatasikkerheden

Bilag A - Dokumentationsregister

Med udgangspunkt i datatilsynets vejledning om brud kan en intern dokumentation af brud indeholde følgende:

Brud på persondatasikkerheden hos [jeres navn] Beskrivelse af bruddet

1 Dato og tidspunkt for bruddet

2 Hvad er der sket?

3 Årsagen til bruddet

4 Hvilken type af persondata er berørt?

5 Hvilke konsekvenser har bruddet for de berørte personer?

6 Hvilke afhjælpende foranstaltninger er truffet?

7 Er der sket anmeldelse af bruddet til datatilsynet?

7.1 Ja/nej og begrundelse herfor

8 Er der sket underretning af de berørte personer?

8.1 Ja/nej og begrundelse herfor

Bilag B - Anmeldelse til Datatilsynet

Indhold Beskrivelse

1 En beskrivelse af karakteren af bruddet på persondatasikkerheden

2 Angivelse af navn på og kontaktoplysninger på et kontaktpunkt, hvor yderligere oplysninger kan indhentes

3 En beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden

4 En beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet, for at håndtere bruddet på persondatasikkerheden