Omhels die ooreenkomste, Hou van die verskille, In al ons sake

Inligtingsveiligheidsbeleid

Die sesde databeskermingsbeginsel vereis dat organisasies toepaslike tegnologiese en organisatoriese maatreëls instel om die sekuriteit van persoonlike data te verseker. In hierdie beleid het Streek 9 die prosesse uiteengesit wat gevolg moet word om data veilig te hou (organisatoriese maatreëls), en die tegnologiese maatreëls wat aangeneem moet word.

Omvang van hierdie beleid

Hierdie beleid is van toepassing op almal wat persoonlike data van of namens Streek 9 verwerk. Dit sluit in beamptes, trustee-skakelbeamptes, komiteevoorsitters, komiteelede, dienskoördineerders of verteenwoordigers van die jaarvergadering, gashere van die jaarlikse vergadering en konvensie, en ander OA-dienslede. Almal is verantwoordelik om te verseker dat indien hulle enige persoonlike data hanteer, dit veilig gehou word en nie (mondeling of skriftelik of per ongeluk) aan enige ongemagtigde derde party bekend gemaak word nie.

Algemene beginsels

OA is 'n anonieme gemeenskap, en ons 12de Tradisie bepaal dat: "Anonimiteit is die geestelike fondament van al hierdie Tradisies, wat ons altyd daaraan herinner om beginsels voor persoonlikhede te stel". Ons hou inligting oor ander genote vertroulik. Hierdie beleid handhaaf die 12de Tradisie. Persoonlike inligting mag nie informeel gedeel word of bekend gemaak word aan mense wat nie gemagtig is om dit te sien nie. Data moet veilig gehou word, en indien dit nie meer benodig word nie, moet dit veilig verwyder of vernietig word. Indien data verlore of gesteel word, moet dit aangemeld word sodra dit besef word, volgens die prosedure in hierdie dokument. Besondere sorg moet gedra word wanneer data van een plek na 'n ander oorgedra word om te verseker dat dit nie tydens vervoer verlore gaan nie.

Hardekopie dokumente

Wanneer persoonlike data op papier gestoor word (byvoorbeeld: 'n register van vergaderingbywoners), moet dit op 'n veilige plek gehou word waar ongemagtigde persone dit nie kan sien nie.

Papier of lêers moet in 'n geslote laai of liasseerkabinet gehou word, of op die regte manier vernietig word indien dit nie meer vir ons doeleindes of ouditvereistes benodig word nie. Papierkopieë moet veilig versnipper of verbrand word wanneer dit nie meer benodig word nie. Om papier te skeur of te verpruts is nie 'n veilige manier van wegdoening nie.

Bywoningslyste vir byeenkomste moet vernietig word wanneer dit nie meer benodig word nie, in ooreenstemming met die Privaatheidsbeleid.

Elektroniese data

Rekenaars en toestelle wat gebruik word om toegang tot persoonlike data te verkry, moet huidige sagteware geïnstalleer hê, aangesien ouer sagteware nie deur sekuriteitsopdaterings ondersteun word nie. Sekuriteitsopdaterings moet geïnstalleer word.

Toestelle moet altyd antivirus-/anti-wanware-sagteware geïnstalleer hê en opgedateer word. Dit sal deur die Streek verskaf word indien nodig.

Sterk wagwoorde moet gebruik word om elektroniese toestelle en ook dienste wat gebruik word om toegang tot data te verkry (e-pos, Google Suite, ens.) te beveilig. Wagwoorde moet nie hergebruik, gedeel, in lêers gestoor of in onveilige wagwoordsleutelhouers of blaaiers gestoor word nie. Wagwoordbestuursagteware moet ideaal gesproke gebruik word en met 'n sterk wagwoord beskerm word. Leidraad oor die keuse en gebruik van wagwoorde kan gevind word. na hierdie skakel.

As u 'n gedeelde rekenaar gebruik, moet wagwoordbeskermde dienste gesluit word wanneer werk klaar is. Lêers en vouers moet nie oopgelaat word nie, en die skerm moet gesluit wees wanneer dit weg is.

Huis-Wi-Fi moet geïnkripteer word volgens die hoogste standaard beskikbaar (ideaal WPA2). Voorstelle vir die beveiliging van huis-Wi-Fi is:

  • Verander jou router admin gebruikersnaam en wagwoord sodat dit nie die standaard vir jou router is nie.
  • Verander die uitsaainaam vir jou Wi-Fi (die SSID) sodat dit nie die roeteerder beskryf nie.
  • Aktiveer brandmure en skakel gasnetwerke af.
  • Hou firmware opgedateer.
  • Tensy jou router toegesluit is, skakel WPS af (die een-druk-knoppie om aan jou router te koppel).

Oop Wi-Fi-netwerke moet nie gebruik word om toegang tot persoonlike data te verkry nie.

Mobiele toestelle

Besondere sorg moet gedra word om mobiele toestelle veilig te hou: hulle moet wagwoordbeskerm wees, en ideaal geïnkripteer. Ongeënkripteerde USB-toestelle is veral onseker aangesien dit so maklik is om te verloor. Ideaal gesproke moet toestelle afgeleë afveemiddels geïnstalleer hê sodat dit uitgevee kan word as dit gesteel word.

Google Suite

Streek 9-beamptes, trustee-skakelbeamptes, komiteevoorsitters, komiteelede, dienskoördineerders of verteenwoordigers van die vergadering, en ander OA-lede maak gebruik van Google Suite om inligting te stoor. Tweestap-verifikasie moet geaktiveer word en 'n sterk wagwoord moet gebruik word.

Dokumente moet op die korrekte plek gestoor word, en veelvuldige kopieë van dieselfde dokumente word nie toegelaat nie. Enige dokument wat persoonlike data bevat, moet gestoor word met 'n lêernaam met die agtervoegsel PD, byvoorbeeld: 'Webwerffakture (PD)'. Elke Beampte, Trustee-skakelpersoon, Komiteevoorsitter en Dienskoördineerder is verantwoordelik vir hul eie Google Suite Shared Drive en ander vouers.

Dokumente moet uitgevee word in ooreenstemming met die argivering- en bewaringsreëls wat in die Privaatheidsbeleid uiteengesit word.

Die Digitale Beampte en Voorsitter van die Digitale Komitee van Streek 9 is die Google Suite-administrateurs. Hulle sal toegang tot Google Suite-gedeelde skywe en ander vouers bestuur, en verseker dat toegang slegs toegestaan ​​word aan huidige beamptes, trustee-skakelbeamptes, komiteevoorsitters, komiteelede, dienskoördineerders of verteenwoordigers van die vergadering, en ander OA-lede, en uitgaande lede wat 'n oorhandiging doen. Sodra 'n oorhandiging voltooi is, sal hulle verwyder word of toegang afgegradeer word vanaf gedeelde skywe en vouers.

E-posadres

Streek 9-beamptes, trustee-skakelbeamptes, komiteevoorsitters, komiteelede, dienskoördineerders of -verteenwoordigers, en ander OA-lede sal Streek 9-e-posrekeninge gebruik wanneer hulle persoonlike data vir Streek 9 hanteer. Hierdie e-posrekeninge sal as deel van hul Google Suite-lisensie verskaf word.

E-pos is nie veilig nie. Die meeste e-posse wat oor die internet gestuur word, word in gewone teks gestuur, wat hulle kwesbaar maak vir onderskepping. Oorweeg watter inligting per e-pos gestuur word. Gebruik byvoorbeeld geënkripteerde vorms om bankinligting in plaas van e-pos te stuur.

Dit word sterk aanbeveel dat generiese e-posadresse waar moontlik gebruik word, op alle vlakke van OA-diens in Streek 9 (sien asseblief die OA Streek 9 Beleidshandleiding). E-posrekeninge moet veilig met 'n wagwoord beskerm word, en sekuriteitskenmerke moet geaktiveer wees.

Groot sorg moet gedra word wanneer e-posaanhangsels oopgemaak word, ingeval hulle 'n virus, Trojaan, spioenasieware of ander wanware bevat. Dit is nou algemeen dat losprysware-aanvalle geloods word deur 'nep'-e-pos wat lyk asof dit van 'n wettige organisasie (byvoorbeeld HMRC) afkomstig is, wat 'n faktuur of bestelvorm aanheg, wat, indien oopgemaak, wanware installeer wat alle data op die aangevalde toestel enkripteer. 'n Losprys word dan gehef vir die dekripsiesleutel. Onder die AVG is 'korrupsie van data' 'n data-oortreding, en daarom moet 'n losprysware-aanval as sodanig aan die Streek 9-voorsitter gerapporteer word, volgens die beleid hieronder.

Wanneer e-posse na 'n verspreidingslys, of verskeie ontvangers, gestuur word, word die sender se e-posadres in die 'Aan'-veld gebruik, met die ontvangers wat in die 'BCC'-veld (blinde koolstofkopie) gelys word. Dit beteken dat e-posadresse nie tussen die hele lys gedeel word nie.

Dokumente wat persoonlike data bevat, kan aan e-posse geheg word, hetsy gestuur of ontvang. Hierdie moet veilig gestoor word. Die e-posse met die aanhangsels moet ook veilig gehou word, en self uitgevee word in ooreenstemming met die argivering en bewaring reëls uiteengesit in die Privaatheidsbeleid.

Gebruik van geanonimiseerde inligting op die webwerf en in publikasies

Persoonlike name sal nie in enige webwerf-inhoud, gedrukte materiaal of ander publikasies wat deur OA Streek 9 vervaardig word, gebruik word nie, tensy 'n kwytskelding by die punt van indiening voltooi word. Hierdie benadering verminder die verwerking van persoonlike data, verminder die risiko van toevallige openbaarmaking en ondersteun ons verbintenis tot die AVG-beginsels van data-minimalisering, privaatheid en die beskerming van individuele regte.

Inbreuk op data

Rapporteer aan Streek 9 Voorsitter

Die AVG vereis dat OA Streek 9 die betrokke nasionale owerheid in kennis stel indien daar 'n data-oortreding is, sonder onnodige vertraging, en nie later nie as 72 uur nadat dit daarvan bewus geword het, tensy die oortreding waarskynlik nie 'n risiko vir die regte en vryhede van data-onderwerpe sal inhou nie. Streek 9 het die Britse Inligtingskommissariskantoor as ons betrokke nasionale owerheid gekies.

'n Persoonlike data-oortreding beteken 'n sekuriteitsbreuk wat lei tot die toevallige of onwettige vernietiging, verlies, verandering, ongemagtigde openbaarmaking van, of toegang tot, persoonlike data wat oorgedra, gestoor of andersins verwerk is. Dit kan insluit die verlies van 'n USB-stokkie met OA-lede se kontakbesonderhede, of die toevallige e-pos van kontakbesonderhede aan enigiemand wat nie gemagtig is om dit te ontvang nie.

Enigiemand wat persoonlike data in verband met OA hanteer (beamptes, trustee-skakelbeamptes, komiteevoorsitters, komiteelede, dienskoördineerders of verteenwoordigers van die vergadering, en ander OA-dienslede) moet die Streek 9-voorsitter in kennis stel sodra hulle bewus word van 'n data-oortreding (chair@oaregion9.orgEnigiemand wat kommer het oor dataprivaatheid of die risiko van 'n oortreding, moet die Voorsitter van hul kommer in kennis stel.

Kennisgewing aan die Inligtingskommissaris se Kantoor

Die Voorsitter sal oorweeg of die oortreding waarskynlik 'n risiko vir die regte en vryhede van datasubjekte sal inhou. Indien so 'n risiko onwaarskynlik is, sal die oortreding nie by die Inligtingskommissaris se Kantoor aangemeld word nie, maar sal dit in die data-oortredingsjabloon aangeteken word. Remediërende stappe sal geïdentifiseer word, en 'n tydskedule vir voltooiing sal opgestel word.

Indien daar 'n risiko vir datasubjekte is, sal die Voorsitter die Inligtingskommissaris se Kantoor van die oortreding in kennis stel, en die volgende beskryf:

  1. die aard van die persoonlike data-oortreding, insluitend waar moontlik, die kategorieë en benaderde aantal betrokke data-onderwerpe en die kategorieë en benaderde aantal betrokke persoonlike data-rekords
  2. die naam en kontakbesonderhede van die persoon van wie meer inligting verkry kan word. Dit kan die Voorsitter wees, of dit kan 'n ander persoon wees wat verantwoordelikheid opgedra is vir die hantering van die databreuk.
  3. die waarskynlike gevolge van die persoonlike data-oortreding
  4. die maatreëls wat deur die beheerder geneem is of voorgestel is om te neem om die persoonlike data-oortreding aan te spreek, insluitend, waar toepaslik, maatreëls om die moontlike nadelige gevolge daarvan te verminder

Hierdie kennisgewing sal geskied binne 72 uur nadat die voorsitter van die oortreding in kennis gestel is, tensy dit nie moontlik is nie, in welke geval dit so gou moontlik sal plaasvind, en redes vir die vertraging gegee.

Waar dit nie moontlik is om al die bogenoemde inligting op dieselfde tyd te verskaf nie, kan die inligting in fases verskaf word sonder onnodige verdere vertraging.

Die Voorsitter sal die oortreding in die sjabloon aanteken, met vermelding van die aard van die oortreding, wanneer en hoe dit aangemeld is, wanneer dit by die Inligtingskommissaris se Kantoor opgemerk is, die gevolge van die oortreding en die remediërende stappe wat geneem is, en enige reaksie van die Inligtingskommissaris se Kantoor, insluitend enige verpligte stappe.

Kennisgewing aan datasubjek(e)

Wanneer die skending van persoonlike data waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê, en dit nie moontlik is om te verhoed dat hierdie risiko realiseer nie, sal die Voorsitter die datasubjek(e) sonder onnodige vertraging inlig. Die volgende inligting sal deur duidelike en eenvoudige taal gekommunikeer word:

  1. Die aard van die persoonlike data-oortreding
  2. die naam en kontakbesonderhede van die persoon van wie meer inligting verkry kan word. Dit kan die Voorsitter wees, of dit kan 'n ander persoon wees wat verantwoordelikheid opgedra is vir die hantering van die databreuk.
  3. die waarskynlike gevolge van die persoonlike data-oortreding
  4. die maatreëls wat deur die beheerder geneem is of voorgestel is om te neem om die persoonlike data-oortreding aan te spreek, insluitend, waar toepaslik, maatreëls om die moontlike nadelige gevolge daarvan te verminder

Die kennisgewing moet direk aan die datasubjek gestuur word, tensy dit buitensporige moeite sou behels, in welke geval dit op die webwerf gepubliseer kan word.

afvaardiging

Die Voorsitter kan hul verantwoordelikhede ingevolge hierdie afdeling aan 'n genoemde persoon delegeer, maar sal voortgaan om die uiteindelike verantwoordelikheid te dra om te verseker dat enige oortreding behoorlik aangeteken en (indien relevant) in kennis gestel word.

weergawe

Hierdie beleid is op 5 Mei 2020 opgestel en in Oktober 2021 deur die Streek 9-vergadering goedgekeur.

Die beleid is hersien en goedgekeur op 16 Januarie 2026.

Enige vrae oor hierdie beleid of enige navrae rakende databeskermingsaangeleenthede moet met die Streek 9-voorsitter geopper word (chair@oaregion9.org)

Terug na bo
OA-streek 9

VRY
VIEW