Denne persondatapolitik beskriver, hvordan SektorCERT indsamler og behandler personoplysninger om dig, når du kommunikerer med os eller du på anden vis gør brug af eller involveres i vores ydelser, samt hvilke rettigheder du har i den henseende.
SektorCERT er dataansvarlig for opbevaring og behandling af de personoplysninger, som vi indsamler om dig. Vi registrerer og opbevarer personoplysninger som er nødvendige for at vi kan administrere vores virksomhed og for at kunne levere vores ydelser og opfylde den aftale, vi har indgået med dig.
Vi kan kontaktes via følgende oplysninger:
Sommerfuglevej 2A, 6000 Kolding
CVR 41369841
Mail: info@sektorcert.dk
Hvis du har spørgsmål om vores behandling af dine personoplysninger, er du til enhver tid velkommen til at kontakte os.
Vi indsamler og behandler følgende oplysninger om dig:
Vi behandler kun personoplysninger i det omfang det er nødvendigt for at opfylde det formål oplysningerne er indsamlet til. SektorCERTs formål er først og fremmest at kunne levere de aftalte ydelser.
Formålet med behandlingen af personoplysningerne er følgende:
Behandling af dine personoplysninger sker i overensstemmelse med de til enhver til gældende regler for databeskyttelse.
Behandlingen sker efter følgende retsgrundlag:
Vi opbevarer dine oplysninger så længe, det er nødvendigt til at opfylde det formål de er indsamlet til. Vi opbevarer dem på følgende måde:
I forbindelse med aftale om konkrete ydelser kan der være behov for at videregive personoplysninger til tredjemand. Dette vil være tilfældet i forbindelse med deling af konkrete cybertrusler. SektorCERT kan i sådanne tilfælde dele oplysningerne med øvrige medlemmer, Center for Cybersikkerhed, decentrale cyber- og informationsenheder, Energistyrelsen og anden myndighed.
I forbindelse med behandling af personoplysninger kan dine oplysninger overlades til eksterne samarbejdspartnere, der behandler oplysningerne på vegne af SektorCERT. Der er indgået databehandleraftaler med disse samarbejdspartnere, og behandlingen sker efter SektorCERTs instruks.
SektorCERT kontrollerer løbende, at behandlingen lever op til kravene efter lovgivningen.
Hvor det er relevant indhenter vi oplysninger hos SektorCERTs stiftelsesvirksomheder:
Kontaktoplysninger, hvis du vil benytte dine rettigheder
Såfremt du som registreret ønsker at gøre brug af nedenstående rettigheder, skal du kontakte SektorCERT gennem de kontaktoplysninger, som er oplistet øverst i persondatapolitikken.
Vi behandler og svarer på henvendelse så hurtigt som muligt og senest en måned, efter, at henvendelse er modtaget, medmindre anmodningens kompleksitet og omfang gør, at der ikke kan svares inden for en måned. I så fald kan svarfristen blive op til 3 måneder i alt, jf. persondataforordningens artikel 12.
Du kan i øvrigt læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, som du kan finde på www.datatilsynet.dk.
Ret til indsigt
Du har ret til at få indsigt i de personoplysninger, som vi behandler om dig, samt en række yderligere oplysninger. Adgangen til indsigt må dog ikke krænke andres rettigheder og frihedsrettigheder.
Ret til berigtigelse
Du har ret til at få urigtige personoplysninger om dig selv rettet.
Oplysningspligt
Du har som udgangspunkt ret til at modtage en række oplysninger om vores behandling af personoplysninger. Under visse betingelser kan vi undlade at give disse oplysninger direkte, fordi en sådan opfyldelse vil kræve en uforholdsmæssigt stor indsats, eksempelvis ved netværksanalyse eller anden indsamling af store mængder data.
Ret til sletning af personoplysninger
I særlige tilfælde har du ret til at få slettet oplysninger om dig, inden tidspunktet for vores almindelige generelle sletning indtræffer.
Ret til begrænsning af behandling
Du har i visse tilfælde ret til at få behandlingen af dine personoplysninger begrænset. Hvis du har ret til at få begrænset behandlingen, må vi fremover kun behandle oplysningerne – bortset fra opbevaring – med dit samtykke, eller med henblik på, at retskrav kan fastlægges, gøres gældende eller forsvares, eller for at beskytte en person eller vigtige samfundsinteresser
Indsigelse
Du har under visse betingelser ret at til at gøre indsigelse imod SektorCERTs behandling af dine personoplysninger, hvis behandling sker efter reglerne i databeskyttelsesforordningens artikel 6, stk. 1, litra e eller litra f.
Ret til at transmittere oplysninger(dataportabilitet)
Når dataansvarliges behandling af dine personoplysninger baserer sig på samtykke eller en aftale, og behandlingen er foretaget automatisk, har du ret til dataportabilitet i forhold til oplysninger, som du selv har givet til dataansvarlig.
Denne ret indebærer, at du har ret til at få tilsendt de personoplysninger, som dataansvarlig behandler om dig i et struktureret, almindeligt anvendt og maskinlæsbart format, som du har ret til at overføre til en anden tjenesteyder, hvis det er teknisk muligt.
Såfremt du ønsker at klage over SektorCERTs behandling af dine personoplysninger, har du ret til at indgive en klage til Datatilsynet, som har følgende kontaktoplysninger:
Datatilsynet
Borgergade 28, 5
1300 København K
dt@datatilsynet.dk
Tlf. 3319 3200
www.datatilsynet.dk
Denne persondatapolitik er gældende fra 25. november 2020
SektorCERT ønsker ikke at gøre brug af cookies på hjemmesiden. I de tilfælde hvor vi linker til eksterne systemer kan dette dog ikke undgås. De cookies der anvendes i den forbindelse er udelukkende tekniske cookies, som er nødvendige for at linket rent teknisk kan fungere.
SektorCERT kan, i de tilfælde hvor SektorCERT er databehandler i forbindelse med levering af de enkelte ydelser, vælge at gøre brug af underdatabehandlere. De underdatabehandlere som SektorCERT gør brug af er listet nedenfor.
I forbindelse med ydelsen Netværksmonitorering gør vi brug af følgende underdatabehandlere:
Navn | Beskrivelse af behandling | Lokation(er) for behandling af personoplysninger |
Splunk | Hosting | Frankfurt |
I forbindelse med ydelsen Hændelsesregistrering gør vi brug af følgende underdatabehandlere:
Navn | Beskrivelse af behandling | Lokation(er) for behandling af personoplysninger |
NIL815 | Hosting | Frankfurt |
Denne politik for dataetik beskriver SektorCERTs principper og værdier for håndtering af data. Enhver håndtering af data sker i respekt og forståelse for menneskets ret til privatlivsbeskyttelse og ud fra generelle etiske principper.
Hvis du har spørgsmål til SektorCERTs dataetiske principper, så er du meget velkommen til at kontakte os. Kontaktoplysninger findes øverst i SektorCERTs persondatapolitik.
Behandling af data
SektorCERT behandler dagligt data fra blandt andet sensornetværket. Derudover behandles data i forbindelse med medlemshåndtering, kursusafholdelse, kommunikation med medlemmerne på SektorCERTs kommunikationsplatform og deling af information om cyberhændelser med mere.
Uanset hvilke data der er tale om, vil enhver indsamling, behandling og opbevaring af data følge SektorCERTs dataetiske principper.
Dataminimering
Ved enhver indsamling og behandling af data er der løbende fokus på at minimere data, så vi altid kun indsamler de data som understøtter det konkrete formål. Hvis data viser sig over tid at bliver overflødige, fjernes disse data fra dataindsamlingen.
Medlemmer behandles ens
Alle medlemmer behandles som udgangspunkt ens, uanset størrelse, funktion, tilhørsforhold til branche etc. Kun i nødstilfælde er det nødvendigt at prioritere blandt medlemmerne, fx i de tilfælde hvor SektorCERT ikke har tilstrækkelig kapacitet til at håndtere incidents hos flere medlemmer samtidigt. I sådanne tilfælde vil prioriteringen ske ud fra hvad der er i det danske samfunds interesse.
Facts
De store mængder af netværksdata som SektorCERT indsamler giver et godt overblik over hvad der foregår på det cybersikkerhedsmæssige område indenfor den kritiske infrastruktur.
Når SektorCERT videregiver disse information til medlemmer, samarbejdspartnere og myndigheder, sker det altid på baggrund af faktiske observationer – facts.
Transparens
SektorCERT anvender data til at gennemføre analyser og vurderinger som videregives til medlemmer, samarbejdspartnere og myndigheder. Det fremgår altid tydeligt hvad der er faktiske observationer og hvad der er SektorCERTs analyser og vurderinger.
Begrænsning i adfærd og rettigheder
Når SektorCERT behandler netværksdata og anden teknisk data fra medlemmerne er der udelukkende fokus på at observere angreb og forsøg på angreb eller netværksaktioner som muligvis kan lede til senere kompromittering af medlemmet. SektorCERT informerer i sådanne tilfælde medlemmet, og er meget opmærksom på at det kan foranledige at rettighederne for de ansatte i medlemsvirksomheden begrænses. Beslutningen om hvilke tiltag der skal tages, er udelukkende en opgave for medlemsvirksomhederne i forhold til egne ansatte.
Potentielt lovbrud
SektorCERTs ansatte leder ikke efter lovbrud i de data der analyseres. Skulle SektorCERTs analytikere alligevel blive opmærksomme på et potentielt lovbrud, har SektorCERT processer for, hvordan der skal reageres. Hvis dette er tilfældet, vil det altid kræve involvering af SektorCERTs direktør.
Persondata
Enhver behandling af persondata skal følge SektorCERTs Persodatapolitik. Der må aldrig diskrimineres mod eksempelvis køn, racer, etnicitet eller fælleskaber.
Klage
Hvis du ønsker at klage vedr. SektorCERTs dataanvendelse eller it-sikkerhed, så er du velkommen til at kontakte SektorCERT. Vi anbefaler at du sender en mail som indeholder de konkrete punkter for din klage.
Vi kan kontaktes via følgende oplysninger:
Sommerfuglevej 2A, 6000 Kolding
CVR 41369841
Mail: info@sektorcert.dk
Vi behandler og svarer på din henvendelse så hurtigt som muligt og senest 3 uger efter din henvendelse er modtaget.
