Nye sikkerheds­krav til virksomheders personale­administration

Datatilsynet har med virkning fra 1. januar 2015 udfærdiget specifikke sikkerhedskrav, som private virksomheder skal efterleve i deres personaleadministration.

Det følger af persondatalovens § 41, stk. 3, at "den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven". Datatilsynet har nu udformet specifikke krav til, hvordan dataansvarlige i den private sektor skal leve op til sikkerhedskravene i bestemmelsen i forbindelse med personaleadministration.

Datatilsynets krav er minimumskrav, som er oplistet i 12 punkter, og som indledningsvist indeholder et vilkår om, at dataansvarlige skal beskrive, hvordan virksomheden konkret implementerer og efterlever minimumskravene. Beskrivelsen kan være særlige retningslinjer, der indgår i virksomhedens uddybende sikkerhedsregler, i en it-sikkerhedspolitik eller som en del af virksomhedens information til medarbejderne.

Derudover indeholder de øvrige bestemmelser bl.a. krav om fysisk adgangsbegrænsning, oplæring af HR-medarbejdere, regler om opbevaring og makulering af data, regler om adgangskoder til computere, kryptering, firewall og viruskontrol.

Fra 1. januar 2015 vil Datatilsynets tilladelser til private virksomheders personaleadministrationer have vilkår om, at tilladelsen gives på betingelse af iagttagelse af de nye minimumskrav. Det er Datatilsynets opfattelse, at kravene blot er en videreførelse af allerede gældende krav, og vi forventer derfor at de vil blive håndhævet også i forhold til ældre HR-tilladelser. Har din virksomhed en HR-tilladelse, bør I derfor sikre jer, at I (også) efterlever samtlige krav i de reviderede vilkår.

Læs Datatilsynets nye minimumskrav her.

---