Hvem er omfattet?

Instruksen gælder for alle leverandører, som ikke har en egentlig databehandleraftale med Boligselskabet Sjælland eller har indgået andre særskilte, skriftlige aftaler om håndtering af persondata.

Hvilke personoplysninger er omfattet?

Leverandøren skal beskytte alle personoplysninger om boligselskabets kunder og ansatte. Typisk udleverer vi f.eks. adresse og telefonnummer til håndværkere, men der kan også udleveres supplerende personhenførbare oplysninger eller info om forhold i en bolig eller hos en beboer. Udover oplysninger udleveret fra boligselskabets side, skal leverandøren også beskytte oplysninger udleveret af beboeren eller oplysninger, som er indsamlet eller observeret hos en beboer.

Hvordan opbevares og håndteres oplysningerne?

Leverandøren skal sikre, at alle personhenførbare oplysninger beskyttes mod udefrakommende adgang, og kun gøres tilgængelige for relevante medarbejdere hos leverandøren. Oplysningerne må kun bruges til det formål, de er blevet givet til leverandøren med (f.eks. at kontakte en beboer vedr. en konkret opgave), og må ikke videregives til andre.

IT-systemer, lokaler, køretøjer, hjemmearbejdspladser og andre opbevarings- og behandlingssteder skal sikres fysisk og digitalt efter gældende regler. Samtidig skal der sikres passende organisatoriske foranstaltninger til at sikre oplysningerne, herunder instruktion og aftaler om ansattes fortrolighed.

Hvis leverandøren behandler følsomme personoplysninger, skal der etableres et særligt højt sikkerhedsniveau.

Hvis der overføres data til lande, der ikke medlem af EU eller EØS, skal leverandøren skriftligt orientere boligselskabet om hvilke data det drejer sig om, samt redegøre for, hvordan EU-kravene til databehandling i tredjelande er sikret. Overførsler til tredjelande kan eksempelvis ske ved anvendelse af hostede/cloud-services.

Hvornår slettes oplysningerne?

Personoplysninger om en af boligselskabets kunder må som udgangspunkt opbevares i 3 måneder efter leverandøren har afsluttet en opgave relateret til den pågældende kunde. Herefter skal oplysningerne bortskaffes/slettes eller anonymiseres (irreversibelt) helt fra leverandørens lokaler eller systemer. Hvis leverandøren har behov for at opbevare data i en længere periode end 3 måneder, skal dette aftales skriftligt med boligselskabet.

Hvis boligselskabet henvender sig om sletning af en specifik kundes oplysninger, skal leverandøren uden unødig forsinkelse slette oplysningen og bekræfte dette, eller vende tilbage med saglig begrundelse for hvorfor sletningen først kan foretages senere.

Vi kan bede om en revisionserklæring

Boligselskabet kan i særlige situationer og for egen regning indhente en revisionserklæring fra en uafhængig tredjepart angående leverandørens overholdelse af denne instruks. Boligselskabet har ligeledes adgang til at føre tilsyn, herunder fysisk tilsyn, hos leverandøren, hvis der efter selskabets vurdering opstår et behov for det.

Grundlæggende ansvar

Udover det ansvar, der er præciseret i denne instruks, har leverandøren fortsat fuldt ansvar for at overholde gældende regler i EU og Danmark om håndtering af personoplysninger.

Appendiks: Eksempler på god praksis hos en håndværker

Nedenfor har vi givet eksempler på, hvordan instruksen kan overholdes hos et håndværksfirma, der udfører opgaver i vores boliger:

Hvilke personoplysninger er omfattet?

Som håndværksfirma skal du beskytte:

• Beboerens adresse og telefonnummer, samt evt. navn, mailadresse og andre kontaktinformationer
• Information om forhold i boligen, f.eks. skimmelsvamp og misligeholdelse
• Oplysninger beboeren har fortalt, eller som håndværkeren har set i boligen

Hvordan opbevares og håndteres oplysningerne?

Du skal passe på personoplysningerne. Det kan du f.eks. gøre sådan:

• Giv kun oplysninger til de medarbejdere, der har brug for dem. Sørg for at medarbejderne ved, hvordan de skal behandle personoplysninger - og evt. har underskrevet en fortrolighedserklæring
• Hvis oplysningerne findes på papir: Sørg for at der er aflåst til de steder (lokaler, køretøjer, hjemmearbejdspladser, arbejdssteder), hvor oplysningerne er. Det er også vigtigt, at papirerne ikke kan ses hvis man kigger ind af bilruder mm.
• Det er lettere at sikre oplysninger, hvis de kun gemmes digitalt. Sørg for, at virksomhedens systemer er beskyttet med adgangskoder, og at kun relevante medarbejdere har adgang. Husk også at mobiler og tablets med adgang skal være sikret, hvis de f.eks. glemmes eller stjæles.
• Hvis I bruger ’cloudbaserede’ IT-systemer, så tjek at oplysningerne kun opbevares i EU/EØS-lande.

Hvornår slettes oplysningerne?

• Gem kun personoplysninger om en af boligselskabets kunder i 3 måneder efter I har udført opgaven. Fakturaen skal I gemme i 5 år, men sørg for der kun står adresse eller lejemålsnummer på den, og ikke andre personhenførbare oplysninger.
• Hvis I skal give garantier, som jo gemmes i en længere periode, så forsøg at anonymisere dokumentet, så det ikke indeholder personhenførbare oplysninger.
• Hvis I alligevel har behov for at opbevare persondata i en længere periode end 3 måneder, skal dette aftales skriftligt med boligselskabet.
• Hvis vi beder jer slette en beboers personoplysninger, skal I bekræfte dette hurtigt– eller give os en saglig begrundelse for, hvorfor sletningen først kan foretages senere.

Senest opdateret 11. juni 2018