Persondataforordningen - Hjemmearbejdspladser skal også have et servicetjek

EU’s politiske organer er nået til enighed om den nye persondataforordning, der træder i kraft i Danmark den 25. maj 2018. Således vil det fremover ikke kun være håndteringen af persondata på selve arbejdspladsen, der skal være styr på, men også persondata, som medarbejderne har adgang til uden for arbejdspladsen f.eks. via Smartphones, tablets og lignende. Se her, hvad din virksomhed skal være opmærksom på

Gennemførelsen af persondataforordningen 2016/679 af 27.04.2016, herunder specielt udsigten til højere bøder for overtrædelser af reglerne om beskyttelse af personoplysninger, giver anledning til at virksomheder gennemgår deres datasikkerhed. Virksomheden skal have styr på håndteringen af persondata, herunder persondata, som medarbejderne har adgang til, uden for arbejdspladsen. Her tænkes på adgang via hjemmearbejdsplads, adgang via Smartphones, tablets og lignende.

”Online hjemmefra”

Når medarbejdere arbejder uden for deres almindelige arbejdsplads, er der en række sikkerhedsmæssige problemstillinger, som virksomheden skal forholde sig til. Ofte arbejdes der ”online hjemmefra” således at der ikke sker lagring af oplysninger fra det centrale system på den lokale arbejdsplads. Arbejdspladsen bruges med andre ord alene som ”arbejdsstation”. Når man logger ud fra den pågældende hjemmearbejdsplads, vil der således ikke umiddelbart være lagret oplysninger.

Her vil det være opkoblingen mellem det centrale system og den private computer, der giver anledning til opmærksomhed, ud fra en sikkerhedsmæssig betragtning. I vejledningen fra Datatilsynet hedder det, at der skal træffes foranstaltninger mod, at uvedkommende kan foretage opkald til det centrale system, og gribe ind i kommunikationen. Der opfordres til at benytte sikkerhedssystemer med tilbagekald, password-beskyttelse og lignende. Password på Smartphones, tablets er et minimumskrav.

Yderligere opfordrer Datatilsynet til, at det overvejes, om der skal være et særligt tidsrum, hvor hjemmearbejdspladsen ikke kan anvendes, og hvorvidt der ”skal foretages logning”, det vil sige registrering af, hvem der har haft adgang hvornår og til hvad.

Under alle omstændigheder må virksomheden præcisere over for den enkelte medarbejder, at der ikke må gemmes oplysninger, omfattet af Persondataloven på selve mediet der anvendes som hjemmearbejdsplads. Hvis der skal ske lagring, skal oplysningerne krypteres efter Datatilsynets vejledning.

For så vidt angår ”udskrivning”– hvis dette sker– skal der fastsættes regler og gives instruktion fra virksomheden, vedrørende opbevaring, tilintetgørelse af de enkelte udskrifter, med henblik på at oplysninger ikke kommer til uvedkommendes kendskab.

Hvis mediet også bruges til privat brug

Hvis mediet/hjemme-pc’en/smartphone/tablet anvendes til andet end arbejde, f.eks. privat brug, skal der fastsættes retningslinjer, og etableres de nødvendige sikkerhedsmæssige foranstaltninger i den forbindelse.

I det omfang virksomheden måtte benytte sig af USB-nøgler, eksterne harddisks og lignende som medtages fra arbejdspladsen, bør der indføres faste politikker med kode og fysisk sikkerhed.

Har du spørgsmål til artiklen eller reglerne om håndtering af persondata i øvrigt, er du velkommen til at kontakte Mads Sommerlund på mail mso@ret-raad.dk eller tlf. 70 10 11 99