--- title: "Privatlivs- og informationspolitik" description: "Her kan du læse om Samsø Kommunes håndtering af privatliv og informationssikkerhed." date: "2026-02-26" created: "2023-07-11" --- [Hjem](https://www.samsoe.dk/) [Om kommunen](https://www.samsoe.dk/om-kommunen) [Organisation](https://www.samsoe.dk/om-kommunen/organisation) [Privatlivs- og informationspolitik](https://www.samsoe.dk/om-kommunen/organisation/privatlivs-og-informationspolitik) # Privatlivs- og informationspolitik Her kan du læse om Samsø Kommunes håndtering af privatliv og informationssikkerhed. I Samsø Kommune arbejder vi for at værne om borgernes digitale tryghed. Ikke kun for at følge gældende love og regler i kommunens digitale tilbud og løsninger – men også for at højne bevidsthed og kompetencer i sikker digital adfærd blandt kommunens medarbejdere. Rammen for dette arbejde, fremgår af kommunens politikker for privatlivsbeskyttelse og informationssikkerhed. Herunder kan du finde information om både privatliv og informationssikkerhed. [Klik her for at læse vores Informationssikkerhedspolitik, godkendt april 2023](https://www.samsoe.dk/p/MOLIRIMEDIA/0392ac14-0d9f-43cb-edde-08dba88b4332) ## Privatliv ### Kommunens ansvar og databeskyttelsesrådgiver Samsø Kommune har fokus på at beskytte data om borgere, virksomheder, ansatte og samarbejdspartnere. På lige fod med alle andre offentlige myndigheder, har Samsø Kommune en databeskyttelsesrådgiver, som skal holde øje med, om kommunen håndterer persondata på lovlig vis. For at kunne levere vores kommunale services og ydelser, har vi brug for informationer. Det gælder informationer om: - borgere - foreninger - virksomheder - ansatte - samarbejdspartnere Du er velkommen til at kontakte vores databeskyttelsesrådgiver, hvis - du har spørgsmål til vores håndtering af dine persondata, er du velkommen til at kontakte vores databeskyttelsesrådgiver. - du har en mistanke om, at kommunen har lækket persondata eller på anden måde krænket fortroligheden i håndteringen af dine eller andre personers data. Kontakt Samsø Kommunes databeskyttelsesrådgiver Lasse Geiger på mail dpo@samsoe.dk eller på telefon 51 37 71 41 i kommunens telefontid mandag til torsdag fra 9.00 - 12.00 og igen fra 13.00-15.00. ### Hvilke oplysninger indhenter vi om dig? I forbindelse med behandlingen af din sag, vil det i mange tilfælde være nødvendigt at indhente oplysninger om dig. Ved disse behandlinger, bestræber vi os på, ikke at indhente flere oplysninger end de, der er nødvendige for at kunne behandle din sag. ### Hvor henter vi oplysninger om dig? Nogle informationer kan vi selv hente fra andre offentlige myndigheder eller fælles registre, så som indkomstoplysninger, SKAT, BBR og lignende. Andre informationer beder vi dig om at oplyse, når du ansøger om en ydelse eller service. Du har altid ret til at få at vide, hvorfra vi henter oplysninger om dig i forbindelse med dine services og ydelser i kommunen. Det enkelte fagområde skal oplyse det til dig i forbindelse med en ansøgning om en service eller ydelse. ### Hvordan håndterer vi din data i selvbetjeningsløsninger? Som udgangspunkt anvender vi den fælles-offentlige login-løsning NemLogin, hvor du bruger dit MitID som nøgle til at logge dig ind på selvbetjeningsløsninger og blanketter. Du kan dog også støde på formularer eller selvbetjeningsløsninger, som ikke kræver så høj sikkerhed. Her kan du typisk oprette dig med et selvvalgt brugernavn og password. Et eksempel på dette er bibliotekernes selvbetjeningsløsning. ### Hvor længe gemmer vi din persondata? Når vi indhenter personlige oplysninger om dig og gemmer dem i forbindelse med vores arbejde, er der forskellige retningslinjer for, hvor længe vi gemmer dine oplysninger. Det varierer, alt efter om det drejer sig om eksempelvis en sag i jobcentret, en byggesag eller en jobansøgning. Inden for visse fagområder skal vi aflevere dine sager og informationer til Rigsarkivet, inden vi må slette dem. Det reguleres af arkivloven. Du kan få præcise oplysninger om, hvor længe vi gemmer dine oplysninger ved at kontakte de enkelte fagområder. ### Hvad er databeskyttelsesrådgiverens rolle? Det er databeskyttelsesrådgiverens opgave at tilse, at kommunen lever op til databeskyttelsesloven. Databeskyttelsesrådgiveren er i sin funktion en uvildig instans, der ikke refererer til administrationen. Rådgiveren bistår med råd og vejledning til fagområderne om lovlig, god og sikker håndtering af persondata. Du kan kontakte databeskyttelsesrådgiveren, hvis du er i tvivl om, om kommunen håndterer dine persondata korrekt. [Klik her for at læse mere om databeskyttelsesrådgiverens rolle på Datatilsynets hjemmeside.](https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/databeskyttelsesraadgivere-dpoer) ### Brug af kunstig intelligens (AI) i sagsbehandlingen i Jobcenter Samsø Jobcenter Samsø anvender digitale værktøjer med kunstig intelligens (AI) som støtte i den daglige sagsbehandling. Formålet er at understøtte sagsbehandlernes arbejde med at skabe overblik, strukturere oplysninger og dokumentere sagsforløb. AI-værktøjerne bidrager til en mere effektiv og ensartet sagsbehandling, men træffer ikke selvstændige afgørelser. **Hvilke AI-værktøjer anvender vi?** Jobcentret anvender følgende AI-moduler leveret af Schultz: - **Lexi** – støtte til juridisk informationssøgning og overblik over relevant lovgivning og praksis - **Summa** – støtte til opsummering og strukturering af sagsoplysninger og dokumenter - **Dialogstøtte** – støtte til udarbejdelse af referat af samtaler mellem borger og jobcenter AI-modulerne fungerer som arbejdsredskaber for sagsbehandleren og anvendes altid under menneskelig kontrol. **Hvordan indgår AI i sagsbehandlingen?** AI kan blive anvendt til at: - skabe overblik over oplysninger i en sag - understøtte udarbejdelse af referater af borgersamtaler - pege på relevant lovgivning og praksis Den endelige vurdering, sagsoplysning, dokumentation og afgørelse foretages altid af en medarbejder. AI-værktøjerne anvendes således kun som beslutnings- og dokumentationsstøtte og ikke til automatiske afgørelser. **Behandling af personoplysninger** Når AI-værktøjerne anvendes i en konkret sag, kan der indgå personoplysninger fra sagen. Behandlingen sker inden for rammerne af databeskyttelseslovgivningen og kommunens databehandleraftale med leverandøren Schultz. Oplysninger anvendes alene med henblik på sagsbehandling i kommunen og ikke til træning af generelle AI-modeller uden for kommunens kontrol. **Dine rettigheder** Du har efter databeskyttelsesreglerne ret til bl.a.: - at få indsigt i de oplysninger, vi behandler om dig - at få urigtige oplysninger rettet - at gøre indsigelse mod behandlingen, hvis betingelserne er opfyldt Da der ikke træffes automatiske afgørelser ved brug af AI i jobcentret, er alle afgørelser underlagt almindelig menneskelig sagsbehandling og kan påklages efter gældende regler. **Kontakt** Har du spørgsmål til jobcentrets brug af AI eller til behandlingen af dine personoplysninger, kan du kontakte: Jobcenter Samsø Søtofte 10 8305 Samsø jobcenter@samsoe.dk Du kan også kontakte kommunens databeskyttelsesrådgiver (DPO): Lasse Geiger på mail dpo@samsoe.dk ### Cookies Når du besøger Samsø Kommunes hjemmeside, bliver der lagt en cookie på din computer. En cookie er et lille stykke tekst, der gemmes på din computer, telefon eller hvad du bruger til at surfe internettet med. Cookien bruges grundlæggende til at gemme informationer om dig på din computer. Vi bruger den til statistik, som giver os mulighed for at optimere brugeroplevelsen. Vi opfordrer dig til at acceptere de cookies, vores website anvender, da de hjælper os til at forbedre brugeroplevelsen for dig og mange andre. ### Hvordan sletter du cookies og afviser dem fremadrettet? Vi håber, du vil tillade de cookies, vi sætter, da de hjælper os med at forbedre websitet. Ønsker du alligevel ikke at modtage cookies fra dette website, skal du: - Klik på Internetindstillinger i din browser - Vælge avancerede cookieindstillinger - Tilføje dette domæne til listen over websites, du vil blokere cookies fra Under Internetindstillinger, kan du også slette individuelle cookies eller alle de cookies, din browser har gemt. Hvis du sætter din browser op til at nægte cookies, skal du være opmærksom på, at der kan være funktionalitet på forskellige websites, der ikke virker. ### Særligt om videomøder Samsø Kommune har til tider behov for at afholde videomøder. Et sådant møde vil blive afholdt som videomøde i Microsoft Teams. Der gøres opmærksom på, at transaktionsoplysninger og chat under mødet vil blive logget af både Samsø Kommune og Microsoft. Der vil dog ikke blive foretaget video- eller lydoptagelse af mødet fra hverken Samsø Kommunes eller Microsofts side. ### Særligt om offentliggørelse af billeder Samsø Kommune har indført et sæt etiske regler vedrørende offentliggørelse af billeder. Ved valg af foto, skal billedet vurderes ud fra følgende regler: - Fotoet skal vise noget om kommunen/institutionen eller en aktivitet - Fotoet må ikke vurderes som ydmygende eller krænkende - Fotoet må ikke kunne virke skadende for barnet nu eller på længere sigt - Der skal tages hensyn til religion og kultur - Indehaver af forældremyndighed skal give skriftligt samtykke vedrørende fotografering af børn - Hvis der ytres ønske om det, skal fotoet fjernes hurtigst muligt - Alle skriftlige tilladelser kan til enhver tid trækkes tilbage ## Informationssikkerhed ### Kommunens ansvar Informationssikkerhedspolitikken i Samsø Kommune fastlægger den overordnede ramme for beskyttelsen af kommunens informationsaktiver og it-systemer, herunder placeringen af ansvaret for kommunens it-sikkerhedsindsats. ### Indledning til Samsø Kommunes informationspolitik Politikkens bestemmelser er udarbejdet med afsæt i: - Principperne i ISO27001 – en international sikkerhedsstandard, som kommunerne i henhold til den fællesoffentlige digitaliseringsstrategi er forpligtede til at følge - EU´s databeskyttelsesforordning (GDPR) og de afledte nationale lovgivninger på området - Anden lovgivning hvor det er relevant for informationssikkerheden Kommunen behandler og opbevarer en stor mængde data og viden - herunder både almindelige og følsomme personoplysninger. Disse data og denne viden kaldes under ét for kommunes informationsaktiver. Det kræver en særlig indsats at sikre disse informationsaktivers fortrolighed, integritet og tilgængelighed, ligesom det er af afgørende betydning for Samsø Kommune, at borgere, virksomheder og den øvrige offentlige sektor har tillid til, at den nødvendige sikkerhed bliver opretholdt omkring håndteringen af de informationsaktiver, der er i kommunens varetægt. Beskyttelse af informationsaktiver og IT-systemer er derfor et vigtigt fokusområde, der håndteres gennem kommunens ledelsessystem for informationssikkerhed (ISMS), der udgør det samlede udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter Samsø Kommune har implementeret for at sikre en velafstemt og risikobaseret tilgang til det informationssikkerhedsmæssige arbejde. ### Formål og principper Formålet med Samsø Kommunes informationssikkerhedspolitik er at definere og fastlægge de overordnede principper for beskyttelse af kommunens informationsaktiver og IT-systemer. Politikken skal udmøntes gennem implementering af sikkerhedsforanstaltninger, der fastlægges på baggrund af risikovurderinger. Disse skal foretages med henblik på at sikre et passende sikkerhedsniveau for de behandlede informationsaktiver og systemer med udgangspunkt i tre centrale begreber: 1. Fortrolighed, så information ikke kommer til uvedkommendes kendskab 2. Integritet, så information forbliver pålidelig, korrekt og intakt 3. Tilgængelighed, så relevant information kan tilgås og anvendes, når og hvor der er behov for det Den overordnede hensigt med informationssikkerhedsarbejdet er således at sikre, at: - kommunens it-infrastruktur til stadighed er driftssikker og effektivt beskyttet mod interne og eksterne trusler herunder angreb på it-systemer som fx hacker- og virusangreb og misbrug af rettigheder (Fortrolighed, Integritet) - oplysninger om borgere og virksomheder til enhver tid er beskyttet mod uberettiget videregivelse, hændelige uheld eller forsætlige handlinger (Fortrolighed) - informationsaktiver til enhver tid er tilgængelige for både interne og eksterne interessenter, med hjemmel til og behov for at få adgang hertil (Tilgængelighed) - regler for god sikkerhedsskik (best practice), herunder principper og normer for adfærd i omgang med informationsaktiver og anvendelsen af kommunens IT-systemer, er klart formuleret og formidlet til medarbejderne (Fortrolighed, Integritet) - der er udarbejdet en beredskabsplan, der sikrer, at driften kan genoptages hurtigst muligt efter et nedbrud eller sikkerhedsbrud, og at konsekvenserne heraf reduceres mest muligt (Fortrolighed, Integritet, Tilgængelighed) ### Omfang Informationssikkerhedspolitikken omfatter enhver form for informationsaktiver, der ejes, opbevares eller behandles af kommunen eller kommunens databehandlere. Dette gør sig gældende uanset hvilket medier, informationsaktivet er lagret på og uanset, hvordan informationsaktivet fremstår (elektronisk, papirbaseret, i tale, transmitteret eller filmisk). Informationssikkerhedspolitikken er gældende for alle, der udfører opgaver eller hverv for kommunen, herunder: - Ansatte (fastansatte, midlertidigt ansatte, vikarer og lignende) - Medlemmer af Kommunalbestyrelsen - Eksterne samarbejdspartnere (personer og virksomheder, der udfører opgaver for kommunen) Kommunens informationssikkerhedspolitik gælder for alle lokaliteter, hvor der sker en anvendelse og bearbejdning af kommunens informationsaktiver på rådhus, institutioner, hjemmearbejdspladser eller adgang via mobil. Kommunens informationssikkerhedspolitik gælder også på lokaliteter for eksterne samarbejdspartnere og virksomheder, der behandler eller er i besiddelse af kommunens informationsaktiver, medmindre der er indgået særskilt aftale herom i databehandleraftaler (eller andre samarbejdsaftaler) for de specifikke behandlingsaktiviteter. ### Organisation og ansvar Det er en ledelsesmæssig opgave at sikre informationssikkerheden i Samsø Kommune. Derfor er ansvaret entydigt forankret i kommunens kommunalbestyrelse og kommunens informationssikkerhedsudvalg, der består af kommunaldirektøren og kommunens forvaltningschefer. ### Kommunalbestyrelsen: Det er kommunalbestyrelsen, der fastlægger de overordnede rammer for informationssikkerheden gennem review og godkendelse af informationssikkerhedspolitikken. ### Kommunaldirektøren: Kommunaldirektøren er kommunens øverste administrative sikkerhedsansvarlige og udgør sammen med den øvrige chefgruppe kommunens informationssikkerhedsudvalg. Kommunaldirektøren har det overordnede ansvar for, at opgaverne i kommunens informationssikkerhedsarbejde bliver løst i overensstemmelse med de bestemmelser, der er fastlagt i nærværende informationssikkerhedspolitik og relevant lovgivning i øvrigt. Det er også kommunaldirektøren, der som formand for informationssikkerhedsudvalget rapporterer på informationssikkerhedsudvalgets arbejde overfor kommunalbestyrelsen, når og hvor det er relevant. ### Chefgruppen: Sammen med kommunaldirektøren udgør chefgruppen kommunens informationssikkerhedsudvalg, der er ansvarligt for udarbejdelse af (samt opfølgning på) kommunens informationssikkerhedspolitik og hertil understøttende retningslinjer, håndbøger, procedurer og vejledninger. Chefgruppen har også (qua deres rolle som systemejere) ansvaret for udarbejdelse og vedligehold af risikovurderinger for IT-systemer og processer, der omfatter behandling eller lagring af informationsaktiver. Det er også informationssikkerhedsudvalgets ansvar at beslutte og iværksætte initiativer til at håndtere og/eller imødegå kritiske og/eller omfattende sikkerhedshændelser. Informationssikkerhedsudvalget kan beslutte helt eller delvist at uddelegere sine opgaver rent operationelt, men kan ikke uddelegere ansvaret herfor. ### Den IT-ansvarlige: Den IT-ansvarlige har gennem varetagelsen af rollen som kommunens tværgående informationssikkerhedskoordinator ansvaret for den daglige operationelle ledelse og facilitering af kommunens informationssikkerhedsarbejde, samt er den IT-ansvarlige informationssikkerhedsudvalgets rådgiver ift. kortlægning af risici og konsekvenser ifm. indkøb og anvendelse af informationsteknologi. ### Databeskyttelsesrådgiveren (DPO): Dette er primært en rådgivende funktion i informationssikkerhedsarbejdet. Det er således DPO’ens ansvar at rådgive, vejlede og overvåge, hvordan og om kommunen efterlever GDPR, samt at sikre afrapportering herom til kommunens øverste ledelse (kommunalbestyrelsen samt informationssikkerhedsudvalget). Dertil bistår DPO’en med den lovpligtige indhentning af databehandleraftaler (samt tilsynet hermed), samt varetager DPO’en rollen som kontaktperson for kommunens borgere ift. GDPR relaterede spørgsmål og forespørgsler. ### Øvrige ledere: Den øvrige ledelse har til ansvar at tilse, at kendskabet til den informationssikkerhedsmæssige ramme og konsekvens er kendt blandt eget personale (og hvor det er relevant også eksterne samarbejdspartnere), samt at sikre efterlevelsen af relevante retningslinjer, instrukser og procedurer herunder. Dertil vil ledere også i eventuelt uddelegerede roller som systemejere skulle bidrage til udformning og vedligehold af risikovurderinger herfor. ### Øvrige medarbejdere: Disse har til ansvar at kende og efterleve informationssikkerhedspolitikken og dens udmøntning i relevant omfang, samt løbende at deltage i awareness- og uddannelsesaktiviteter i samme kontekst. ### IT-risikovurdering og -håndtering Samsø Kommune fastlægger på baggrund af konkrete risikovurderinger et sikkerhedsniveau, der indfrier de forventninger til troværdighed og stabilitet, der er til behandling af data i en offentlig myndighed. Sikringen skal stå mål med risikoen, og derfor skal kommunen ikke sikre sig for enhver pris - men være bevidst om enhver risiko. Sikkerhedsniveauet og anvendelsen skal til enhver tid tilgodese lov- og myndighedskrav, anerkendte standarder for informationssikkerhed (ISO 27001/27002), anbefalinger på området (”Best practice”) samt udmeldinger og afgørelser fra Datatilsynet. Der skal kontinuerligt foretages risikovurderinger. Ledelsen skal deltage aktivt i risikovurderingerne, idet de er ansvarlige for at vurdere trusler, konsekvenser og risici af it-systemer og behandlingsaktiviteter. Som minimum gennemføres/revideres risikovurderinger af kritiske it-systemer en gang årligt samt ved større ændringer i systemanvendelsen eller ved leverandørskifte. Kommunens informationsaktiver og IT-systemer skal identificeres og klassificeres. Dette skal sikre det korrekte sikkerhedsniveau i forhold til systemer og datas fortrolighed, integritet og tilgængelighed. ### Sikkerhedsbevidsthed Alle, som har adgang til, anvender eller behandler informationsaktiver i Samsø Kommune har et medansvar for, at informationsaktiver og IT-systemer beskyttes optimalt mod uautoriseret adgang, ændring, ødelæggelse og tyveri. For at sikre et kontinuerligt højt bevidsthedsniveau, så skal alle ansatte løbende modtage relevant uddannelse eller træning i databeskyttelse og informationssikkerhed. ### Dispensationer I det omfang der er akut behov for at fravige specifikke krav i informationssikkerhedspolitikken, er det alene kommunaldirektøren, der kan bemyndige dette. Det påhviler kommunaldirektøren at informere kommunalbestyrelsen og informationssikkerhedsudvalget herom, samt at tilse at et evt. behov for at tilpasse informationssikkerhedspolitikken behandles senest ved næste revision af informationssikkerhedspolitikken. ### Overtrædelser Bevidste eller ubevidste overtrædelser af kommunens informationssikkerhedspolitik kan få den konsekvens, at borgernes personoplysninger bliver kompromitteret. En anden konsekvens kan være, at der opleves ustabilitet/uhensigtsmæssigheder i anvendelse og bearbejdning af kommunens informationsaktiver. Dette kan i værste fald medføre økonomisk tab for kommunen eller en forringelse af den kommunale service eller kommunens omdømme. Hvis en trussel mod informationssikkerheden eller brud på denne opdages, skal disse hændelser straks meddeles til kommunens sikkerhedsansvarlige i henhold til gældende procedure (typisk kommunens DPO og/eller IT-ansvarlige). Sikkerhedsbrud indgår i rapporteringen til informationssikkerhedsudvalget. Hændelser, der kræver presseomtale, håndteres af informationssikkerhedsudvalget. Overtrædelser af kommunens informationssikkerhedspolitik eller andre bestemmelser, der er udmøntet heraf, vil blive behandlet af informationssikkerhedsudvalget afhængig af karakteren af overtrædelsen og kan få ansættelsesmæssige konsekvenser. ### Godkendelse og kontakt Denne informationssikkerhedspolitik er senest revideret d. 1/10-2020 og godkendt af kommunalbestyrelsen d. 10/11-2020. Har du spørgsmål til informationssikkerheden i Samsø Kommune, kan du kontakte leder af IT-afdelingen, Jens Knobelauch på telefon 30 10 55 33 i kommunens telefontid mandag til torsdag fra 9.00 - 12.00 og igen fra 13.00 - 15.00 eller på mail [aujekn@samsoe.dk.](mailto:aujekn@samsoe.dk)