Karina Lind Bertelsen, ADVODAN Glostrup

12 minimumskrav til personaleadministration

Datatilsynet kom i januar 2015 med 12 minimumskrav til datasikkerheden i forbindelse med personaleadministration i en virksomhed. For virksomheder, der føler sig på usikker grund, er minimumskravene et godt sted at starte.

De 12 minimumskrav

1: Dokumentation. Virksomheden skal beskrive, hvordan personaleoplysninger beskyttes i personaleadministrationen, og hvordan virksomheden i praksis har implementeret nedenstående punkter. Fx beskrevet i en IT-politik.

2: Adgang til oplysningerne skal begrænses til de personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.

3: Medarbejdere, der håndterer personaleoplysninger skal instrueres i, hvordan oplysningerne må håndteres, og hvordan de skal beskytte oplysningerne.

4: Personaleoplysninger på papir skal opbevares aflåst, når de ikke er i brug. Når oplysningerne skal smides ud, skal de makuleres eller bortskaffes på en måde, hvor uvedkommende ikke kan få adgang til oplysningerne.

5: Adgangskode. Der skal kræves adgangskode for at få adgang til computere mv. med personoplysninger. Koder må kun gives til de personer, der skal have adgang. Koder må ikke videregives til andre. Kontrol af koder minimum hvert halve år.

6: Forsøg på adgang skal logges. Det skal registreres, hvis der er forgæves forsøg på at få adgang til IT-systemet med følsomme personaleoplysninger. Hvis der registreres mange afviste adgangsforsøg, skal der blokeres for yderligere forsøg.

7: Lagring på USB. Hvis personaleoplysninger lagres på en USB-nøgle (eller andre bærbare datamedier), skal oplysningerne beskyttes. Fx ved brug af USB-nøgle med adgangskode og kryptering. Ellers skal opbevaring ske i aflåst skuffe eller skab.

8: Beskyttelse af computere. Computere, som er koblet til internettet, skal have en opdateret firewall og viruskontrol installeret.

9: Kryptering af formularer med følsomme personoplysninger. Benytter virksomheden hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.

10: Kryptering af e-mails med følsomme personaleoplysninger. Hvis der sendes følsomme personaleoplysninger og personnummer med e-mail via internettet, bør der ske en kryptering.

11: Reparation/service af it-udstyr. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.

12: Eksterne databehandler. Ved brug af ekstern databehandler til håndtering af personoplysninger, skal persondatalovens krav om skriftlig databehandleraftale mv. følges. Eksempelvis når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

Hvis man arbejder sig igennem alle punkterne på listen, kommer man automatisk omkring mange vigtige ting, som gør, at man som virksomhed står godt rustet den dag, den kommende EU-forordning træder i kraft. Derfor anbefaler jeg, at man tager fat på opgaven i god tid, da det kan tage lang tid at få alle retningslinjer udarbejdet og implementeret.

Dette blogindlæg er udarbejdet på baggrund af det seneste ADVODAN NYT.

Tilmeld dig nyhedsbrevet Persondata Nyt

Vil du gerne følge tæt med i, hvad der sker inden for persondatalovgivning? Så tilmeld dig nyhedsbrevet Persondata Nyt.

I samarbejde med ADVODAN Glostrup sørger Visma for, at du altid er opdateret med seneste nyt, stort som småt, omkring Persondataforordningen fra EU og de regler, som kommer til at gælde i Danmark.

Tilmeld nyhedsbrevet her

Læs vores blogindlæg om Vismas tilgang til rollen som databehandler

Rollen som databehandler skal tages alvorligt
Indlæg skrevet af: Jesper Balsby, økonomidirektør i Visma Services Danmark A/S

Læs vores øvrige blogindlæg om den nye persondataforordning fra EU

Persondataloven – En lov, der ikke længere kan ignoreres
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

Persondataloven – compliance stiller krav om management!
Indlæg skrevet af:  Karina Lind Bertelsen fra ADVODAN

Karina er advokat og partner i ADVODAN Glostrup og har mange års erfaring i at rådgive mindre og mellemstore virksomheder om erhvervsjuridiske forhold i forbindelse med ex. indgåelse af kontrakter, selskabskonstruktioner, køb og salg af virksomheder, markedsføringsrettigheder og persondataloven.