Den nye persondataforordning træder i kraft i Danmark pr. 25. maj 2018.
Mange virksomheder er allerede ved at forberede den interne persondatabeskyttelse, men flere overser, at persondataforordningen også får betydning for medarbejderes brug af computere, smartphones, tablets m.v. udenfor arbejdstiden.
Når Persondataforordningen træder i kraft i Danmark den 25. maj 2018, er det ikke blot virksomhedernes centrale databehandling der skal leve op til helt nye og skærpede krav, da også medarbejderes tilgang til virksomhedens data fra hjemmet bør få et eftersyn.
Datatilsynet udtalte sig sidste år kritisk om en sag fra en kommune, hvor en medarbejder havde gemt en række referater på en USB-nøgle, og derefter havde gemt filerne på sin private server. En anonym person hackede sig senere ind på medarbejderens private server, hvormed filerne blev tilgængelige for uvedkommende. Datatilsynet fandt det kritisabelt, at filerne var blevet lagret på en privat server, hvorpå kommunen ikke havde kontrollen over datasikkerheden.
Kritikken er interessant, da netop tilgang til arbejdsdata hjemmefra for mange er helt normalt, og ikke giver anledning til de store overvejelser. Hvis man som virksomhed stiller data til rådighed for sine medarbejdere uden for kontoret, bør man som minimum gøre sig følgende 5 overvejelser:
1) Hvis der lagres oplysninger på medarbejderens enhed, således at enheden ikke blot bruges som terminal op mod virksomhedens dataserver, men at der også lagres selv minimale mængder data på enheden, bør den lagrede data krypteres.
2) Hvis forbindelsen mellem medarbejderens enhed og virksomhedens dataserver etableres via opkaldsforbindelse (mobildata, bredbånd, telefon m.m.), skal virksomheden foranstalte mod, at uvedkommende kan koble sig på virksomhedens dataserver, herunder eksempelvis ved indførelse af passwords eller tilbagekaldsfunktion. I samme omgang bør virksomheden overveje, om der skal etableres ’låste’ tidsrum, hvor der ikke kan oprettes forbindelse til virksomhedens data – for eksempel om natten.
3) Hvis medarbejderen har brug for at printe data fra sin enhed, skal virksomheden fastsætte klare regler for opbevaring og destruktion af det printede, ligesom virksomheden skal instruere sine medarbejdere i disse regler.
4) Hvis medarbejderen benytter sin enhed til andet end arbejdsmæssigt brug, eksempelvis til skole eller i fritiden, skal virksomheden fastsætte klare regler for anden anvendelsen, ligesom virksomheden skal etablere relevante og nødvendige sikkerhedsforanstaltninger.
5) Ved trådløs kommunikation, eksempelvis mellem medarbejderens enhed og en trådløs printer, skal virksomheden fastsætte retningslinjer for at sikre datasikkerheden under den trådløse dataoverførsel, således at denne datastrøm ikke kan opfanges af uvedkommende.
Ovenstående 5 punkter giver et godt, generelt billede af kravene til datasikkerhed på hjemmearbejdspladsen. Listen kan dog ikke stå alene, og kravene varierer meget afhængigt af, hvilken type data der skal tilgås fra hjemmet. Er der eksempelvis tale om personaleadministration, er kravene væsentligt mere vidtgående.
Nørregaard Advokatfirma har stor erfaring indenfor rådgivning om persondataforordningen, og du er velkommen til at kontakte os på post@ngaf.dk, såfremt du vil vide mere.