Introduktion

Sikkerhed og opbevaring af data er af højeste prioritet for KM2JOB, vores kunder og samarbejdspartnere. Vi har derfor udarbejdetnedenstående beskrivelser, som dokumenterer vores IT-platform, beredskab, sikkerhedsforanstaltningerne, behandling og opbevaring af personfølsomme oplysninger mm.

Denne beskrivelse er udfærdiget med henblik på at levere information til brug for KM2JOB kunder og interessenter. Beskrivelsenomfatter information omkring system- og kontrolmiljøet, som er etableret i og omkring KM2JOB systemer, der leveres til KM2JOBsindividuelle såvel som fælles løsninger. Nærværende beskrivelse indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende håndtering af persondata. Formålet er at give tilstrækkelige informationer til, at kundernes GDPR-afdelinger eller lignende selvstændigt kan vurdere afdækningen af risici i kontrolmiljøet.

Beskrivelse af KM2JOBs ydelser

KM2JOB er en dansk rekrutteringsvirksomhed, der arbejder med alle aspekter i rekrutteringsprocessen. I forbindelse her med anvendes værktøjer indenfor personprofiler / personlighedstest, med dertil hørende IT-software. Tilsvarende anvendes et rekrutteringsadministrationssystem, der hostes af virksomheden Emply. Emply står inde for korrekt behandling af data i deres system, og udleverer ISAE 3402 revisorerklæring på begæring til opfyldelse af KM2JOBs tilsynspligt.

KM2JOBs ydelser er rettet mod alle slags virksomheder, der har behov for hjælp til rekruttering.

Risikostyring hos KM2JOB

KM2JOB har fastsat processer for risikovurdering af deres forretning. Formålet med risikovurderingen er at sikre, at derisici, som er forbundet med de services, som KM2JOB stiller til rådighed er minimeret til et acceptabelt niveau.

Risikovurderingen revurderes med fastsatte intervaller og minimum i forbindelse med, at der indføres nye services. Risikovurderingen gennemføres af de ansvarlige for IT-drift og udvikling og godkendes af KM2JOBs adm. direktør.

Ansvar og organisering hos KM2JOB

KM2JOB har 5 samarbejdspartnere fordelt på 2 lokationer, og er organiseret i en konsulentafdeling og en supportafdeling.

For de værktøjer som indeholder personfølsomme oplysninger er adgangen til disse data krypteret. Adgang til krypteret data erbegrænset til nøglemedarbejdere.

Al mailkorrespondance med personfølsomme data sker krypteret, og al videregivelse sker med konkret samtykke fra den berørte person. 

Al sagsbehandling og behandling af persondata foregår via Emplys administrationsplatform, og medarbejdere og kunder er instrueret om ikke at trække data ud samt opbevere dette på egen pc eller i papirform, med mindre der er tale om et helt konkret og kortvarigt behov, f.eks. i forbindelse med samtale med kandidater, hvorefter materialet straks skal makuleres.

 IT-sikkerhed

KM2JOBs IT-sikkerhed gennemgås løbende af ledende medarbejdere og ajourføres i tæt samarbejde med centrale nøglemedarbejdere, som står for udvikling af KM2JOBs services.

Sikkerhedsforanstaltninger

Alle medarbejdere udfylder en IT-sikkerhedserklæring ved tiltrædelse og er via deres samarbejdsaftale gjort opmærksom på, atde vil stifte bekendtskab med personfølsomme oplysninger samt deres fortrolighed, i forhold til arbejdet med dette.

KM2JOBs it-sikkerhedspolitik er gældende for alle medarbejdere og er etableret med henblik på at skabe et styringsværktøj for hensigtsmæssig og betryggende drift af KM2JOBs kerneydelser, som tilbydes overfor kunderne og for egen drift og IT-adgang /behandling. Der sker løbende forbedring af såvel fysisk som logisk sikkerhed, driftsafvikling, beredskabsplanlægning ogsupport af it-infrastrukturen samt udførelse og dokumentation af de etablerede kontroller.

Minimum én gang om året gennemgår medarbejderne et kort kursus i behandling af personfølsomme oplysninger. Desuden oplyses medarbejderne om den gældende IT- sikkerhedspolitik og gøres opmærksom på konsekvenserne ved ikke at efterlevedenne.

Der skal henvises til, at KM2JOBs system adgang for kunder samt KM2JOBs egne driftssystemer (ERP, CRM, Mail, Datafiler mm.) er 100 % opdelt – og det er derfor kun medarbejdere, som har beskæftiger sig rekrutteringsprocessen og support, som har adgang til de udviklede systemer.

Fysisk adgang og sikkerhed

KM2JOB har kontorer i DTU Science Park i Hørsholm, og er derfor omfattet af de  fysiske rammer som er udlagt af DTU Science Park, herunder adgangsforhold via reception og kodede adgangskort. 

Opbevaring af fysiske dokumenter i relation til selskabets ydelser er placeret i et særligt brandskab, hvortil kun særligt betroetpersonale har adgang via et nøglesystem. Skabet er placeret i selskabets kontor; som er aflåst uden for åbningstiden.

Et vagtselskab runderer alle områder i DTU Science Park udenfor selskabets åbningstid.

It-sikkerhedsadministration

KM2JOB har fastsat retningslinjer for tildeling af adgang til rekrutteringsadministrationssystemet  og rettigheder til kundedata. KM2JOBs medarbejdere vil ikke kunne tilgå kundedata og systemer via deres normale brugernavn og adgangskode, men hvis en medarbejder anvender KM2JOBs administrative brugerkonti, vil medarbejderen kunne se kundedata.

Udvidede rettigheder til kundesystemer tildeles kun til de medarbejdere hos KM2JOB, som har et arbejdsbetinget behov for disse rettigheder, og såfremt en medarbejder skrifter jobfunktion, vil disse rettigheder blive fjernet. Der er logning på alleløsninger i forbindelse med anvendelse af Administrator- og brugerkonti.

Der foretages en regelmæssig kontrol med, at udvidede rettigheder alene er tildelt relevante medarbejdere. Adgang til kundernes lokalt installerede applikationer og rettigheder i disse er ikke en del af KM2JOBs ansvar, hvilket ligeledes fremgåraf den aftale, som er indgået mellem parterne. Kunderne / brugerne er således selv ansvarlige for at sikre, at kun autoriserede personer har adgang til følsomme data.

Efterlevelse af relevant lovgivning

KM2JOB har tilrettelagt procedurer og kontroller, således at de områder, som er KM2JOBs ansvar efterleves betryggende irelation til KM2JOBs webtjenester (Rekrutteringsadministrationssystemet samt tilknyttede testsystemer). KM2JOB er ikke ansvarlig for øvrige applikationer, som afvikles hos brugeren, og som følge af dette omfatter denne beskrivelse ikke sikkerhedfor, at der er etableret betryggende kontroller i disse applikationer, herunder at applikationerne efterlever persondataloven elleranden relevant lovgivning, da dette er pålagt brugeren.