Produkt

It-sikkerhed ved brug i kommuner

Arosii

Hos Mobilize Me har vi en stærk IT-virksomhed i ryggen, som er eksperter inden for IT sikkerhed. De hedder Arosii, og deres speciale er sundheds-IT og Clean Tech. De står bl.a. bag sikkerhedssystemet STS, på den Nationale Service Platform, som sikrer at landets borgere kan se, hvem der har logget ind i deres personlige oplysninger på den nationale sundhedsplatform, sundhed.dk. Du kan læse mere om vores partnerskab her.

Databehandleraftale

Vi forholder os aktivt til de regler, som er beskrevet i den nye persondataforordning, der trådte i kraft i maj 2018. Derfor indgår vi en databehandleraftale med alle vores kunder.

I en databehandleraftale overtager vi ansvaret for den data, som opbevares på vores servere, og I undgår dermed ansvaret for noget, I ikke har kontrol over. Det synes vi, giver bedst mening for alle.

Skriv til direktør Dorthe Stricker for nærmere information om at indgå en databehandleraftale: dorthe@mobilize-me.com

Få et overblik over de kommuner, der allerede har indgået databehandleraftaler med os i galleriet herunder.

It-sikkerhed hos Mobilize Me: En gennemgang til kommuner

Indledning

Vejledningen er bygget således op, at vi indleder med at besvare de spørgsmål, som vi oftest bliver mødt af hos kommunerne. Spørgsmålene er overvejende af teknisk art og vedrører selve systemets opbygning.

Herefter beskriver vi, hvilke ansvarsområder der bør uddelegeres, inden værktøjet tages i anvendelse. Dette handler primært om, at I som kommune bør sikre jer, at nogen tager ansvar for den daglige håndtering af administrationsopgaver, som er forbundet med værktøjet.

Til sidst beskriver vi en række procedurer, som skal hjælpe jeres personale med at håndtere værktøjet i dagligdagen på den bedste – og sikreste måde. Heri indgår bl.a. også retningslinjer for daglig brug af værktøjerne ift. følsomme personoplysninger og personhenførbare data.

Skulle I have yderligere spørgsmål, så kontakt os gerne på: kontakt@mobilize-me.com

IT-SIKKERHED HOS MOBILIZE ME APS 

Brugerstyring

Brug af Mobilize Me’s værktøjer kræver, at man som institution, skole eller kommune udvælger en eller flere lokale administratorer, som uddannes til superbrugere og får adgang til at oprette, nedlægge og redigere i brugernes profiler.

Systemejer

Det er vigtigt at udpege en systemejer, som er ansvarlig for it-sikkerhed, drift, vedligeholdelse og kontraktlige forhold ift. Mobilize Me ApS. Systemejeren tager ansvar for at holde sig opdateret ift. retningslinjer for brug af værktøjet og holde personalet ajour med opdateringer, ændringer mm.

Systemejeren bliver indskrevet i Databehandleraftalen.

Brugen af password

Som i alle andre systemer, er det selvfølgelig vigtigt, at brugerne ændrer passwordet, så det bliver personligt. Det bliver licensholderen tvunget til inde værktøjet ved første login:

Vores stærke password indeholder disse elementer:

• Er minimum 10 tegn langt
• Indeholder både små og store bogstaver
• Indeholder tal

Pinkodebeskyttelse af devices

Vi opfordrer derudover kraftigt til, at brugeren benytter sig af pinkode eller touch ID på sin device. Skulle det ske, at brugeren mister sin device, imens vedkommende er logget ind, vil en tredjepart kunne åbne app’en og få adgang til brugerens data – indtil brugerkontoen er lukket.

Følsomme personoplysninger

Mobilize Me ApS’s værktøjer har til formål at hjælpe borgere med kognitive udfordringer med at lægge struktur. Det er derfor ikke nødvendigt eller ønskeligt at oplyse følsomme personoplysninger ved brug af Mobilize Me’s værktøjer. Mobilize Me anbefaler derfor, at man ikke lægger følsomme personoplysninger ind i værktøjet. Følsomme personoplysninger er defineret som:

• Race eller etnisk oprindelse.
• Politisk overbevisning.
• Religiøs overbevisning.
• Filosofisk overbevisning.
• Fagforeningsmæssigt tilhørsforhold.
• Genetiske data.
• Biometriske data.
• Helbredsoplysninger, herunder misbrug af medicin, narkotika, alkohol m.v.

Personhenførbare data

I sin korte form dækker personhenførbare data over informationer, som med rimelighed kan forventes at føre tilbage til en fysisk person. Det kan fx være identifikationsoplysninger (navn, adresse osv.) eller familieforhold. Disse oplysninger er ikke følsomme, men de skal alligevel behandles med omhu. Vi anbefaler, at man undgår at lægge personhenførbare data ind i værktøjet, men nøjes med oplysninger som relaterer sig til borgerens brug af værktøjet.

Brug af billeder

Billeder er en stor del af Mobilize Me ApS’ værktøjer og et særdeles effektivt virkemiddel ift. vores brugere. Det er dog vigtigt, at personalet har for øje, at der ikke må indgå følsomme personoplysninger, når der tages billeder.

Personalet må fx ikke tage billeder af:

• Et pilleglas, hvor der er påtrykt et CPR-nummer
• Et religiøst tidsskrift
• En kuvert/et dokument med navn og adresse

Samtykkeerklæringer

Hvis der er brug for at tage et billede af en anden person, er det vigtigt, at man har et samtykke fra vedkommende. Personen skal være bevidst om, at vedkommende bliver fotograferet, og man kan med fordel indhente en samtykkeerklæring.
Man må gerne tage et billede af en forsamling (til en fest, et kursus eller lignende) uden at indhente samtykke, så længe der ikke er enkelte personer i fokus.

Tekstbeskeder

Generelt gælder der de samme retningslinjer for tekstbeskeder, som for brug af billeder: Skriv ikke om følsomme personoplysninger og undgå personhenførbare data.

Proces for aktindsigt

Hvis en borger beder om aktindsigt hos sin støtteperson, henvender denne sig til den lokale administrator. Administratoren tager skriftlig kontakt til Mobilize Me ApS og beder om de relevante data. Mobilize Me sender de ønskede data i en sikker mail direkte til borgeren.

Proces for bortkommet udstyr

Mister en bruger sit device, skal der tages kontakt til den lokale administrator, som sørger for at deaktivere brugerens profil. Alle brugerens data forbliver gemte på vores server, men man vil ikke kunne logge ind på brugerens profil, før den aktiveres igen.

Skulle det ske, at devicet er offline, kan vi heller ikke komme i kontakt med det, og man vil derfor kunne tilgå kontoens dagsstruktur, indtil der igen er netforbindelse.