Lever din virksomhed op til persondatalovens krav?

28. februar 2017

Bliv klogere på hvad det er for nogle krav din virksomhed skal leve op til i forhold til persondataloven, som blev skærpet i 2015 og nu kan se frem til yderligere stramninger med den nye EU persondataforordning, som træder i kraft i 2018.

I januar 2015 skete en skærpelse af datatilsynets krav til danske virksomheder og den 25. maj 2018 træder den nye EU persondataforordning i kraft.Med den nye EU persondataforordning vil virksomheder opleve strammere krav og større konsekvenser, hvis ikke de lever op til persondataloven. Virksomheder kan blandt andet komme ud for at skulle betale op mod 4% af deres indtægt i bøde.

Det er derfor en god ide for virksomheder at få styr på, hvordan de håndterer persondata og sikrer sikkerheden af data. Et godt sted at starte er at undersøge, om virksomheden lever op til de 12 minimumskrav, persondataloven stiller til virksomheden:

Lever virksomheden op til de 12 minimumskrav?

Januar 2015 blev det et krav fra Datatilsynets side, at virksomheder skal leve op til 12 minimumskrav vedr. persondataloven.  

1. Dokumentation
Hvordan beskytter virksomheden personaleoplysninger i personaleadministration, og har virksomheden i praksis implementeret efterfølgende pkt. 2-12.
Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en IT-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne - f.eks. Personalehåndbog.

2. Adgangshåndtering
Har virksomheden en oversigt, som viser hvilke personer, som har adgang til personaleoplysningerne og administrative muligheder (roller og ansvar)?
Adgang til oplysningerne skal begrænses til de personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.

3. Medarbejdere
Hvordan instrueres medarbejdere, der håndterer personaleoplysninger, i, hvordan oplysningerne må håndteres, og hvordan de skal beskytte oplysningerne?
Medarbejdere, der håndterer personaleoplysninger skal instrueres i, hvordan oplysningerne må håndteres, og hvordan de skal beskytte oplysningerne. F.eks. kurser, brugervejledning, skriftlige arbejdsgange.

4. Personaleoplysninger på papir
Hvorledes opbevares personaleoplysninger på papir?
Personaleoplysninger på papir – for eksempel i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug. Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.

5. Adgangskoder
Hvordan tildeles adgangskoder (brugernavn/adgangskode) til personoplysningerne, og er dette foretaget (inkl. evt.  dataværktøjer, f.eks. SQL)?
Der skal anvendes adgangskode (brugernavn/adgangskode) for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den.
Kontrol af tildelte koder (brugernavn/adgangskode) skal foretages mindst en gang hvert halve år.

6. Adgangsforsøg skal logges
Logger virksomheden forgæves forsøg på adgang til personoplysningerne, og er systemet sat op til at kunne blokeres?
Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger (forkert brugernavn og/eller adgangskode eller vha. systemværktøj, f.eks. SQL)
Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.

7. Lagring på USB
Lagres personaleoplysninger på f.eks. en USB-nøgle?
Hvis personaleoplysninger lagres på en USB-nøgle (eller andre bærbare datamedier), skal oplysningerne beskyttes. Fx ved brug af USB-nøgle med adgangskode og kryptering. Ellers skal opbevaring ske i aflåst skuffe eller skab.

8. Beskyttelse af computere
Har computere, som benyttes til personoplysninger, og som er koblet på internettet, firewall og viruskontrol installeret, og hvorledes sker opdateringer?
Computere, som er koblet til internettet, skal have en opdateret firewall og viruskontrol installeret.

9. Kryptering af hjemmeside formularer
Benytter virksomheden hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes?
Såfremt virksomheden benytter hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering. Typisk i forbindelse med registrering af persondata hos en ekstern partner (databehandler).

10. Kryptering af e-mails
Sender virksomheden e-mails med følsomme personaleoplysninger via Internettet?
Hvis der sendes følsomme personaleoplysninger og personnummer med e-mail via internettet, bør der ske en kryptering.

11. Reparation/service af IT-udstyr
Har virksomheden arbejdsgange, som sikrer, at personaleoplysninger ikke kommer til uvedkommendes kendskab ved hhv. reparationer og service, salg og kassation af IT-udstyr/datamedier?
I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.

12. Ekstern databehandler
Benytter virksomheden en eller flere eksterne databehandlere? Foreligger en skriftlig dataaftale i givet fald?
Ved brug af ekstern databehandler til håndtering af personoplysninger, skal persondatalovens krav om skriftlig databehandleraftale mv. følges. Eksempelvis når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.
Virksomheden skal årligt sikre sig, at databehandler overholder Persondataloven.

Få et IT sikkerhedstjek

Sure’it har med udgangspunkt i Datatilsynets skærpede krav i januar 2015 udviklet en service, der hjælper virksomhederne til at sikre, at de efterlever lovgivningens krav jf. persondataloven. 

Et IT-Sikkerhedstjek, giver et samlet overblik over virksomhedens anvendelse og behandling af data. Den giver en detaljeret status- og plan for, hvordan virksomheden som minimum kan opfylde lovens krav til behandling af data.

Læs mere om IT-Sikkerhedstjek


Tilmeld sure'it nyhedsmail

Tilmeld dig vore nyhedsmails, og hold dig opdateret med hvad der sker i sure'it, og hvad sure'it kan hjælpe dig og din virksomhed med.

Vi tilstræber at udsende 3 til 4 nyhedsmails om året.