We use cookies on this website. Some are needed for the site to function correctly. Others to analyze how our website is used. Read more about cookies here.
Datenschutzrichtlinie
Behandlung von personenbezogenen Daten innerhalb von NFB
Die Vorschriften zur Behandlung personenbezogener Daten wurden zuvor durch das Datenschutzgesetz (PuL) geregelt. Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO), die auch als Gesetz in allen EU-Mitgliedstaaten durchgesetzt wird. Die Verordnung wird einige Änderungen für diejenigen mit sich bringen, die personenbezogene Daten verarbeiten, und die Rechte von Einzelpersonen in Bezug auf den persönlichen Datenschutz stärken.
NFB behandelt nur personenbezogene Daten, die der Vorstand benötigt, um Genehmigungen und Zertifikate für Freizeitbootsfahren auszustellen und aufrechtzuerhalten.
Informationssicherheit
Informationssicherheit bezieht sich auf den Schutz der Vertraulichkeit, Genauigkeit und Verfügbarkeit von Informationen innerhalb der Betriebsabläufe von NFB.
Vertraulichkeit bedeutet:
Der Zustand, in dem Informationen nicht unbefugten Personen zugänglich gemacht oder offengelegt werden.
Genauigkeit bedeutet:
Die Eigenschaft von Informationen, die sicherstellt, dass sie nicht unbefugt, versehentlich oder aufgrund von Fehlfunktionen verändert werden. In diesem Zusammenhang ist Rückverfolgbarkeit ein wichtiges Konzept. Rückverfolgbarkeit bezieht sich auf die Fähigkeit, durchgeführte Aktivitäten eindeutig zurückzuverfolgen und die Person oder die Funktion des Systems zu identifizieren, die sie durchgeführt hat.
Verfügbarkeit bedeutet:
Die Fähigkeit, Informationen in dem erwarteten Umfang und innerhalb des gewünschten Zeitrahmens zu nutzen.
Ziele und Fokus der Informationssicherheit innerhalb von NFB
Die Ziele von NFB im Hinblick auf ihre Informationssicherheit sind wie folgt:
- Vertrauliche Informationen über NFB oder seine Mitglieder dürfen niemals unbefugten Parteien zur Verfügung gestellt oder offengelegt werden, unabhängig vom Grund.
- Informationen über personenbezogene Daten müssen immer korrekt und nicht manipulierbar sein. Wenn festgestellt wird, dass die erfassten Informationen inkorrekt sind, sollte die Korrektur unverzüglich vorgenommen werden.
- Informationen über die Aktivitäten von NFB in ihrem Jahresbericht müssen immer den geltenden Gesetzen entsprechen und die Betriebstätigkeiten von NFB angemessen repräsentieren.
- NFB sollte immer über Systeme für ihre Informationssicherheit verfügen, die die gesetzlichen und kommerziellen Anforderungen erfüllen, um zeitnah auf die erforderlichen Informationen zugreifen zu können.
- Der Schwerpunkt der Arbeit zur Informationssicherheit sollte darauf liegen, den Zugang von externen Lieferanten, die auf dem Markt etabliert sind, zu Systemen mit hoher Funktionalität, Sicherheit und Leistungsfähigkeit zu erhalten, die die Ziele von NFB für die Informationssicherheit fördern.
- Der Vorstand sollte bei Bedarf zusätzliche Anweisungen und Richtlinien festlegen, die beschreiben, wie die Arbeit zur Informationssicherheit durchgeführt werden sollte, um die festgelegten Ziele und den Fokus des Vorstands zu erfüllen.
Verantwortung und Koordination für die Informationssicherheit
Der Vorstand ist für die Leitung und Koordinierung der Arbeit zur Informationssicherheit verantwortlich. Dies umfasst die Zuweisung von Verantwortlichkeiten innerhalb von NFB für zu erledigende Aufgaben. Aufgaben, aber nicht zugewiesene Verantwortlichkeiten, können an andere innerhalb der Organisation delegiert werden.
Risikoanalyse
Das Sekretariat sollte jährlich und bei Änderungen, die die Informationssicherheit betreffen, vorhandene Risiken in der Informationssicherheit von NFB analysieren. Identifizierte Risiken sollten verwaltet werden. Entscheidungen über Maßnahmen sollten vom Vorstand getroffen werden.
Interne Regeln für die Informationssicherheit
Das Sekretariat sollte interne Regeln für die Arbeit zur Informationssicherheit festlegen. Diese internen Regeln sollten unter anderem die physische Sicherheit, den Schutz der Datenkommunikation und -betrieb, die Rückverfolgbarkeit in IT-Systemen und Regeln für Zugriffsrechte auf IT-Systeme umfassen. Die internen Regeln können in mehrere Dokumente unterteilt werden und sollten regelmäßig bewertet und bei Bedarf aktualisiert werden.
Physische Sicherheit
Die Räumlichkeiten des Sekretariats sollten über ein Perimeterschutzsystem verfügen, das unbefugten Zugriff auf Dokumente und IT-Ressourcen von NFB verhindert. Der Perimeterschutz sollte Brand- und Einbruchsalarme umfassen, die an ein Überwachungszentrum mit 24/7-Überwachung angeschlossen sind. Es sollte immer Redundanz für die Datenkommunikation und den Betrieb geben. NFB sollte in der Lage sein, durch Protokolle nachzuverfolgen, was jeder einzelne Mitarbeiter in Bezug auf Änderungen und wann getan hat. Wenn NFB externe Lieferanten für Unterstützung in verschiedenen Teilen des Betriebs verwendet, sollten diese über die Anforderungen von NFB in Bezug auf die Informationssicherheit informiert werden.
Zugang zu Informationen
Grundlegend für den Zugang zu Informationen ist, dass Mitarbeiter und Beamte nur Zugang zu den Informationen haben sollten, die für die Erfüllung ihrer Aufgaben erforderlich sind. Alle IT-Systeme sollten die Möglichkeit haben, Berechtigungen basierend auf Rollen oder individuell zuzuweisen. IT-Systeme sollten so gestaltet sein, dass der Zugriff und die Autorisierung pro Funktion oder funktionaler Gruppe spezifiziert werden können. Es sollte auch möglich sein, bestimmten Benutzern das Anzeigen von Informationen zu gestatten, jedoch nicht deren Änderung. NFB sollte regelmäßig, jedoch mindestens jährlich, überprüfen, ob vorhandene Zugriffsrechte auf die aufgabenbezogenen Bedürfnisse beschränkt sind.
Berichterstattung und Behandlung von Vorfällen im Zusammenhang mit der Informationssicherheit
Alle Vorfälle, die geschäftskritische Unterbrechungen oder Vorfälle im Zusammenhang mit personenbezogenen Daten betreffen, sollten so schnell wie möglich dem Vorstand gemeldet werden. Mit der Datenschutz-Grundverordnung der EU unterliegt NFB Regeln zur Pflicht, Vorfälle im Zusammenhang mit personenbezogenen Daten der Datenschutzbehörde zu melden.
Löschverfahren für personenbezogene Daten
Im Zusammenhang mit dem Recht des Betroffenen gemäß der Datenschutz-Grundverordnung, vergessen zu werden, und den Regeln zur Löschung muss NFB ein internes Verfahren dafür festlegen, wie die Löschung personenbezogener Daten erfolgen soll. Verstorbene Personen sollten nach 2 Jahren gelöscht werden. Dies gilt unabhängig davon, ob noch ausstehende Gebühren anfallen, da NFB keine unbezahlten Gebühren von verstorbenen Personen einzieht.
Bewertung interner Regeln
NFB sollte die internen Regeln regelmäßig bewerten und bei Bedarf aktualisieren.