Indledning
Selskabet er et fagvidenskabeligt selskab, hvis formål er vedligeholdelse af faglig viden, videreuddannelse og forskning inden for den muskuloskeletale medicin.
Formål
Formålet med denne IT-sikkerhedspolitik er, at:
• Fastlægge de overordnede rammer for IT-sikkerheden under hensyntagen til DSMM’s risikobillede
• Beskrive en klar ansvarsfordeling og hensigtsmæssig styring og kontrol af IT-sikkerheden
• Sikre, at forretningskritiske- og personhenførbare data indsamles, anvendes, opbevares og slettes i overensstemmelse med gældende lovgivning
Publikation
IT-sikkerhedspolitikken er tilgængelig for alle på DSMM’s hjemmeside
Registreredes rettigheder (medlemmer og/eller kursister)
DSMM respekterer fuldt ud de registreredes ret og ønske om hemmeligholdelse af personlige oplysninger, som løbende udleveres til / indsamles af DSMM.
Personoplysninger dækker over alle oplysninger, der kan bruges til at identificere et medlem, herunder, men ikke begrænset til, vedkommendes for- og efternavn, alder, køn, privatadresse eller anden fysisk adresse, e-mailadresse eller andre kontaktoplysninger.
DSMM opbevarer og håndterer udelukkende personoplysninger på aktive medlemmer af foreningen. Alle oplysninger slettes eller anonymiseres, hvis et medlem forlader foreningen.
Det er kun bestyrelsesmedlemmer, lærere og medarbejdere i DSMM, som har adgang til personoplysninger og kun i det omfang det er nødvendigt for at kunne løse de arbejdsopgaver, som er aftalt eller DSMM på anden vis er forpligtiget til.
Hvornår er der tale om sikkerhedsbrud
• JA - Der er tale om brud på persondatasikkerheden, når bruddet fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der sendes, lagres eller på anden måde behandles, hvad enten behandlingen foregår fysisk eller elektronisk.
• NEJ - Der er ikke tale om brud på persondatasikkerheden, hvis det er usandsynligt, at bruddet har været årsag til misbrug af personoplysninger.
Procedure i tilfælde af sikkerhedsbrud
I tilfælde af brud på persondatasikkerheden, følger DSMM en fastlagt procedure:
• Uden unødig forsinkelse og om muligt inden 72 timer fra konstatering af bruddet, foretager DSMM en anmeldelse direkte på Datatilsynets hjemmeside Anmeld sikkerhedsbrud
• Den eller de berørte personer underrettes uden unødig forsinkelse, så de kan træffe deres forholdsregler.
• Sikkerhedsbruddet dokumenteres ved hjælp af standardiseret formular, herunder en beskrivelse af de faktiske omstændigheder, konsekvenser og tiltag, DSMM har foretaget for at afhjælpe situationen
• Bestyrelsen informeres om hændelsen og tager stilling til de korrigerende foranstaltninger
• Dokumentation for sikkerhedsbruddet journaliseres i arkivet på hjemmesiden
Web sikkerhed
Hjemmesiden og tilknyttede subdomæner (*.dsmm.org) er HTTPS-beskyttet med SSL-certifikat.
Medlemsdelen på hjemmesiden er beskyttet bag individuelle login (brugernavn/adgangskode).
Betaling for kurser og lignende på hjemmesiden og tilknyttede subdomæner sker via krypteret betalingsgateway.
Rolle- og ansvarsfordeling
For at sikre en forankring af ansvar omkring IT-sikkerheden i DSMM er de primære roller beskrevet herunder:
Bestyrelsens ansvar
• Sikre, at IT-sikkerhedspolitikken er relevant, overholdes og er tilstrækkeligt implementeret
• Skabe fælles organisatorisk forståelse for, at IT-sikkerhed er et fælles ansvar
• Stille de fornødne rammer og ressourcer til rådighed for at opnå et tilstrækkeligt IT-sikkerhedsniveau under hensyntagen til DSMM’s risikobillede
• Iværksætte IT-sikkerhedsinitiativer generelt og ved væsentlige sikkerhedsbrud
• Sikre, at roller og ansvar er beskrevet og tildelt både internt i DSMM og over for leverandører
Webmasters ansvar
• Løbende at monitorere IT-sikkerheden og sikre at den er i overensstemmelse med kravene i IT-sikkerhedspolitikken
• Kontinuerligt arbejde med og videreudvikle IT-sikkerhedsniveauet
• Sikre at medarbejdere og leverandører efterlever kravene i IT-sikkerhedspolitikken
• Iværksætte egne undersøgelser eller tests i det omfang, der vurderes behov herfor
Sekretærens ansvar
• Løbende efterleve kravene i IT-sikkerhedspolitikken og derved undgå brud på persondatasikkerheden
• Følge procedure for brud på persondatasikkerheden i tilfælde af sikkerhedsbrud
• Rapportere alle IT-sikkerhedshændelser til bestyrelsen og webmaster
Version 1.0 12-02-2020