Få styr på persondataloven

Vi får jævnligt spørgsmål fra vores kunder, om hvad de må og – især – ikke må, i forbindelse med registrering af medarbejdere.

I denne artikel prøver vi at svare på ét af de hyppigste spørgsmål.

Adgang til ansættelseskontrakter og oplysninger om medarbejdere

En bruger skrev:

”Vi opbevarer vores ansættelseskontrakter elektronisk, og adgangen er kontrolleret, så kun ledelsen og økonomiafdelingen har adgang til kontrakterne. Er det den korrekte fremgangsmåde?”.

Svaret er et rungende: ”Måske!”. Når man taler om adgang til personfølsomme oplysninger, er der nemlig ikke én rigtig måde at gøre tingene på. I stedet skal man forsøge at besvare en række spørgsmål.

Det første du skal kunne svare på er spørgsmålet: ”Hvem har brug for at kunne se disse oplysninger?” Vores kunde er godt på vej ved at sige, at det nok kun er folk i økonomi-afdelingen og ledelsen. Medarbejderne i produktionen, receptionisten og virksomhedens sælgere har ikke noget at bruge de oplysninger til, så dem kan de på forhånd udelukke.

Men det er ikke nødvendigvis helt godt nok. Det kan godt være, at der er gode saglige grunde til, at alle i økonomi-afdelingen skal kunne se data om de ansatte, og der kan også godt være gode grunde til at alle chefer skal kunne se alle oplysninger om alle medarbejdere. Du skal bare kunne forklare, hvorfor det er nødvendigt, at alle ansatte i de berørte afdelinger kan se oplysningerne.

Hvis det kun er nødvendigt, at fx personalechefen, lønbogholderen og medarbejderens direkte chef kan se hele personalesagen, så skal du – så vidt det er teknisk og økonomisk muligt – begrænse adgangen til disse personer.

For at udtrykke princippet på engelsk: Adgang sker på ”need-to-know”-basis, og ikke på ”nice-to-know”-basis.

Det næste spørgsmål du skal stille dig selv er så: ”Har vi gjort nok for at forhindre uvedkommende i at have adgang til de personfølsomme oplysninger?

Det handler meget om at have styr på hvem, der reelt kan logge sig ind på virksomhedens forskellige it-systemer og få adgang til de forskellige dele. Herunder noget så elementært som at have en politik for at have personlige brugernavne, og at sørge for at kodeord bliver skiftet regelmæssigt, og at sikre, at hver bruger kun anvender sin egen adgang. Det er strengt forbudt at dele brugernavn og adgangskoder! Også selv om det er meget, meget praktisk.

Den nye lov

Et grundlæggende træk ved den nye lov er, at alt skal beskrives og dokumenteres.

Så du skal have faste og beskrevne procedurer for tildelingen af adgang til systemer med personfølsomme data. Det skal være beskrevet hvem og hvorfor, der har adgang, og der skal være procedurer for, hvordan adgangen fjernes igen, når en medarbejder skifter arbejdsområde.

Du skal også huske, at folk generelt har krav på at få at vide, hvad der er registreret af oplysninger om dem, i de forskellige systemer. Her gælder det, at der også skal være styr på, at der ikke ved et uheld kommer til at blive udleveret følsomme oplysninger til de forkerte personer.

Få hjælp til håndteringen

Vi har allerede i dag et overblik over persondataloven, og vi er ved at få lavet tjeklister for håndtering heraf for bedre at kunne hjælpe jer med implementeringen af den nye lov.

De første kunder har allerede efterspurgt vores hjælp med håndteringen, hvilket betyder, at vores kalender så småt bliver fyldt ud.

For at sikre, at du og din virksomhed ikke kommer på bagkant, vil jeg allerede i dag foreslå dig, at få booket os til et møde hvor vi ser på hvordan vi vil kunne hjælpe dig med håndtering heraf.

Vi tilbyder lige nu en timepris på DKR. 850,- imod vores normale pris på DKR. 1.200,- i timen ekskl. moms.

Book et møde med os allerede i dag, så vi kan sikre at du efterlever de krav der skal til for at kunne efterleve persondataloven i maj måned 2018.

Ovenstående skal ikke betragtes som et udtømmende svar på alt, hvad der skal gøres – og det dækker langt fra alle situationer. Hver enkelt virksomhed skal gøre sig sine egne overvejelser. Vil du have konkret hjælp til din specifikke situation, er du velkommen til at booke et møde med os (der er begrænset pladser)

Af Steen Andersen