Datatilsynets krav om datasikkerhed ved personaleadministration

Når en virksomhed har ansatte, er der nogle særlige regler i persondataloven, som skal overholdes vedrørende datasikkerhed, såvel teknisk som organisatorisk.

Dette skal forhindre at personaleoplysninger "hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven" jf. perondataloven. 

I den forbindelse har Datatilsynet udarbejdet nogle minimumskrav, som skal følges. Disse er en betingelse for at kunne få tilladelse til personaleadministration. 

Datatilsynet

Telefonisk henvendelse

Telefon 33 19 32 00.

• mandag kl. 9-12 og 13-15
• tirsdag kl. 9-12
• onsdag kl. 9-12 og 13-15
• torsdag kl. 13-16
• fredag kl. 9-12

Digitalpost

Gå ind på www.borger.dk. Log ind på Digital Post med NemID og vælg ”Skriv ny post”. Du kan nu vælge Datatilsynet som modtager

E-mail

Datatilsynets hovedpostkasse, dt@datatilsynet.dk.

Fremsendelse af almindelig e-mail sker ikke krypteret.

 

 

 

Minimumskrav for sikkerhed i forbindelse med personaleadministration:

  1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne.
  2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne. Det skal være så få personer som muligt.
  3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.
  4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug.Når dokumenter (papirer, kartotekskort mv.) med personaleoplysninger skal smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til oplysningerne.
  5. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger. Kun de personer, der skal have adgang, må få en kode. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hvert halve år.
  6. Det skal registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.
  7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes. Der kan f.eks. bruges en USB-nøgle med adgangskode og kryptering. Ellers skal USB-nøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af personaleoplysninger på andre bærbare datamedier.
  8. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.
  9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.
  10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.
  11. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, og når datamedier skal sælges eller kasseres, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.
  12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller rekrutteringssystem på internettet.

Almindelige oplysninger

Det kan være medarbejderens navn, adresse og  telefonnummer, fødselsdato, nær familie, oplysninger om uddannelse, udtalelser, tidligere beskæftigelse m.v. vil normalt kunne registreres uden anmeldelse til Datatilsynet eller samtykke fra den pågældende medarbejder.

 

Følsomme oplysninger

Er fx oplysninger om helbredsforhold, herunder misbrug af nydelsesmidler, alkohol m.v., oplysninger om strafbare forhold samt andre tilsvarende rent private forhold, f.eks. om at en medarbejder er bortvist fra jobbet på grund af en grov tilsidesættelse af ansættelsesforholdet. En personlighedstest vil som regel også skulle betragtes som en følsom oplysning.

Som hovedregel må en virksomhed kun registrere følsomme oplysninger om en medarbejder, hvis medarbejderen har givet udtrykkeligt samtykke til dette. Samtidig vil der skulle ske en anmeldelse en til Datatilsynet. Læs mere her.