GDPR
Introduktion
Sikkerhed og opbevaring af data er af højeste prioritet for Studenterkonsulenterne, vores kunder og samarbejdspartnere. Vi har derfor udarbejdetnedenstående beskrivelser, som dokumenterer vores IT-platform, beredskab, sikkerhedsforanstaltningerne, behandling og opbevaring af personfølsomme oplysninger mm.
Denne beskrivelse er udfærdiget med henblik på at levere information til brug for Studenterkonsulenterne kunder og interessenter. Beskrivelsenomfatter information omkring system- og kontrolmiljøet, som er etableret i og omkring Studenterkonsulenterne systemer, der leveres til Studenterkonsulenterne individuelle såvel som fælles løsninger. Nærværende beskrivelse indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende håndtering af persondata. Formålet er at give tilstrækkelige informationer til, at kundernes GDPR-afdelinger eller lignende selvstændigt kan vurdere afdækningen af risici i kontrolmiljøet.
Beskrivelse af Studenterkonsulenternes ydelser
Studenterkonsulenterne er en dansk rekrutteringsvirksomhed, der rekruttering af studenterkonsulenter til forskellige virksomheder. I forbindelse med dette anvendes et rekrutteringsadministrationssystem, der hostes af virksomheden Emply. Emply står inde for korrekt behandling af data i deres system, og udleverer ISAE 3402 revisorerklæring på begæring til opfyldelse af Studenterkonsulenterne tilsynspligt.
Studenterkonsulenternes ydelser er rettet mod alle slags virksomheder der ønsker at rekruttere en studentermedhjælper samt alle studerende, der ønsker et studiejob.
Risikostyring hos Studenterkonsulenterne
Studenterkonsulenterne har fastsat processer for risikovurdering af deres forretning. Formålet med risikovurderingen er at sikre, at de risici, som er forbundet med de services, som Studenterkonsulenterne stiller til rådighed er minimeret til et acceptabelt niveau.
Risikovurderingen revurderes med fastsatte intervaller og minimum i forbindelse med, at der indføres nye services. Risikovurderingen gennemføres af de ansvarlige for IT-drift og udvikling og godkendes af Studenterkonsulenternes adm. direktør.
Ansvar og organisering hos Studenterkonsulenterne
For de værktøjer som indeholder personfølsomme oplysninger er adgangen til disse data krypteret. Adgang til krypteret data erbegrænset til nøglemedarbejdere.
Al mailkorrespondance med personfølsomme data sker krypteret, og al videregivelse sker med konkret samtykke fra den berørte person.
Al sagsbehandling og behandling af persondata foregår via Emplys administrationsplatform, og medarbejdere og kunder er instrueret om ikke at trække data ud samt opbevere dette på egen pc eller i papirform, med mindre der er tale om et helt konkret og kortvarigt behov, f.eks. i forbindelse med samtale med kandidater, hvorefter materialet straks skal makuleres.
IT-sikkerhed
Studenterkonsulenternes IT-sikkerhed gennemgås løbende af ledende medarbejdere og ajourføres i tæt samarbejde med centrale nøglemedarbejdere, som står for udvikling af Studenterkonsulenterne services.
Sikkerhedsforanstaltninger
Alle medarbejdere udfylder en IT-sikkerhedserklæring ved tiltrædelse og er via deres samarbejdsaftale gjort opmærksom på, at de vil stifte bekendtskab med personfølsomme oplysninger samt deres fortrolighed, i forhold til arbejdet med dette.
Studenterkonsulenternes it-sikkerhedspolitik er gældende for alle medarbejdere og er etableret med henblik på at skabe et styringsværktøj for hensigtsmæssig og betryggende drift af Studenterkonsulenternes kerneydelser, som tilbydes overfor kunderne og for egen drift og IT-adgang /behandling. Der sker løbende forbedring af såvel fysisk som logisk sikkerhed, driftsafvikling, beredskabsplanlægning og support af it-infrastrukturen samt udførelse og dokumentation af de etablerede kontroller.
Minimum én gang om året gennemgår medarbejderne et kort kursus i behandling af personfølsomme oplysninger. Desuden oplyses medarbejderne om den gældende IT- sikkerhedspolitik og gøres opmærksom på konsekvenserne ved ikke at efterlevedenne.
Der skal henvises til, at Studenterkonsulenternes system adgang for kunder samt KM2JOBs egne driftssystemer (ERP, CRM, Mail, Datafiler mm.) er 100 % opdelt – og det er derfor kun medarbejdere, som har beskæftiger sig rekrutteringsprocessen og support, som har adgang til de udviklede systemer.
Fysisk adgang og sikkerhed
Studenterkonsulenterne har kontor i DTU Science Park i Hørsholm, og er derfor omfattet af de fysiske rammer som er udlagt af DTU Science Park, herunder adgangsforhold via reception og kodede adgangskort.
Et vagtselskab runderer alle områder i DTU Science Park udenfor selskabets åbningstid.
It-sikkerhedsadministration
Studenterkonsulenterne har fastsat retningslinjer for tildeling af adgang til rekrutteringsadministrationssystemet og rettigheder til kundedata. Studenterkonsulenternes medarbejdere vil ikke kunne tilgå kundedata og systemer via deres normale brugernavn og adgangskode, men hvis en medarbejder anvender studenterkonsulenternes administrative brugerkonti, vil medarbejderen kunne se kundedata.
Udvidede rettigheder til kundesystemer tildeles kun til de medarbejdere hos studenterkonsulenterne, som har et arbejdsbetinget behov for disse rettigheder, og såfremt en medarbejder skrifter jobfunktion, vil disse rettigheder blive fjernet. Der er logning på alleløsninger i forbindelse med anvendelse af Administrator- og brugerkonti.
Der foretages en regelmæssig kontrol med, at udvidede rettigheder alene er tildelt relevante medarbejdere. Adgang til kundernes lokalt installerede applikationer og rettigheder i disse er ikke en del af studenterkonsulenternes ansvar, hvilket ligeledes fremgår af den aftale, som er indgået mellem parterne. Kunderne / brugerne er således selv ansvarlige for at sikre, at kun autoriserede personer har adgang til følsomme data.
Efterlevelse af relevant lovgivning
Studenterkonsulenterne har tilrettelagt procedurer og kontroller, således at de områder, som er Studenterkonsulenternes ansvar efterleves betryggende i relation til Studenterkonsulenternes webtjenester (Skemaer for virksomheder og Studenterkonsulenter). Studenterkonsulenterne er ikke ansvarlig for øvrige applikationer, som afvikles hos brugeren, og som følge af dette omfatter denne beskrivelse ikke sikkerhed for, at der er etableret betryggende kontroller i disse applikationer, herunder at applikationerne efterlever persondataloven eller anden relevant lovgivning, da dette er pålagt brugeren.