Gå til hovedsiden

12 minimumskrav til personaleadministration

Datatilsynet kom i januar 2015 med 12 minimumskrav til datasikkerheden i forbindelse med personaleadministration i en virksomhed. For virksomheder, der føler sig på usikker grund, er minimumskravene et godt sted at starte.

Karina Lind Bertelsen, ADVODAN Glostrup

De 12 minimumskrav

1: Dokumentation. Virksomheden skal beskrive, hvordan personaleoplysninger beskyttes i personaleadministrationen, og hvordan virksomheden i praksis har implementeret nedenstående punkter. Fx beskrevet i en IT-politik.

2: Adgang til oplysningerne skal begrænses til de personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.

3: Medarbejdere, der håndterer personaleoplysninger skal instrueres i, hvordan oplysningerne må håndteres, og hvordan de skal beskytte oplysningerne.

4: Personaleoplysninger på papir skal opbevares aflåst, når de ikke er i brug. Når oplysningerne skal smides ud, skal de makuleres eller bortskaffes på en måde, hvor uvedkommende ikke kan få adgang til oplysningerne.

5: Adgangskode. Der skal kræves adgangskode for at få adgang til computere mv. med personoplysninger. Koder må kun gives til de personer, der skal have adgang. Koder må ikke videregives til andre. Kontrol af koder minimum hvert halve år.

6: Forsøg på adgang skal logges. Det skal registreres, hvis der er forgæves forsøg på at få adgang til IT-systemet med følsomme personaleoplysninger. Hvis der registreres mange afviste adgangsforsøg, skal der blokeres for yderligere forsøg.

7: Lagring på USB. Hvis personaleoplysninger lagres på en USB-nøgle (eller andre bærbare datamedier), skal oplysningerne beskyttes. Fx ved brug af USB-nøgle med adgangskode og kryptering. Ellers skal opbevaring ske i aflåst skuffe eller skab.

8: Beskyttelse af computere. Computere, som er koblet til internettet, skal have en opdateret firewall og viruskontrol installeret.

9: Kryptering af formularer med følsomme personoplysninger. Benytter virksomheden hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.

10: Kryptering af e-mails med følsomme personaleoplysninger. Hvis der sendes følsomme personaleoplysninger og personnummer med e-mail via internettet, bør der ske en kryptering.

11: Reparation/service af it-udstyr. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.

12: Eksterne databehandler. Ved brug af ekstern databehandler til håndtering af personoplysninger, skal persondatalovens krav om skriftlig databehandleraftale mv. følges. Eksempelvis når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

Hvis man arbejder sig igennem alle punkterne på listen, kommer man automatisk omkring mange vigtige ting, som gør, at man som virksomhed står godt rustet den dag, den kommende EU-forordning træder i kraft. Derfor anbefaler jeg, at man tager fat på opgaven i god tid, da det kan tage lang tid at få alle retningslinjer udarbejdet og implementeret.

Dette blogindlæg er udarbejdet på baggrund af det seneste ADVODAN NYT.

Tilmeld dig nyhedsbrevet Persondata Nyt

Vil du gerne følge tæt med i, hvad der sker inden for persondatalovgivning? Så tilmeld dig nyhedsbrevet Persondata Nyt.

I samarbejde med ADVODAN Glostrup sørger Visma for, at du altid er opdateret med seneste nyt, stort som småt, omkring Persondataforordningen fra EU og de regler, som kommer til at gælde i Danmark.

Læs vores blogindlæg om Vismas tilgang til rollen som databehandler

Rollen som databehandler skal tages alvorligt
Indlæg skrevet af: Jesper Balsby, økonomidirektør i Visma Services Danmark A/S

Læs vores øvrige blogindlæg om den nye persondataforordning fra EU

Persondataloven – En lov, der ikke længere kan ignoreres
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

Persondataloven – compliance stiller krav om management!
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

Mest læste

  • Visma trækker i trøjen for en god sag

    I dag er det 1. marts og dermed også forårets første dag i kalenderen. Det har dog ikke været det, der har været det store samtaleemne i Visma House i Carlsberg Byen i dag men i stedet har vi markeret #fodboldtrøjefredag med farverige fodboldtrøjer, konkurrencer og stadionplatte for at støtte om Børnecancerfondens årlige indsamlingsdag.

  • Ret til provision under ferien?

    Får din medarbejder provision, skal du være opmærksom på, at vedkommende har ret til at blive kompenseret for den mistede provision under ferien. Men hvordan skal løn under ferie beregnes, når medarbejderne også får udbetalt provision? Er du nysgerrig, så læs mere her.

  • Omvendt betalingspligt – hvordan er det nu?

    Fra d. 1 juli 2014 har nye regler været gældende for moms ved køb af mobiltelefoner, PC’er, tablets m.v. Vi gennemgår her hvad det betyder både for dig som køber og sælger af mobil- og IT-udstyr.