9.9.11. Sikkerhed

Persondataloven indeholder i kapitel 11 regler om behandlingssikkerhed.

Af § 41, stk. 3, følger, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Kravene i § 41, stk. 3, er uddybet i bekg. 528 15/6 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), der er udstedt i medfør af lovens § 41, stk. 5.

9.9.11.1. Autorisation

I sikkerhedsbekendtgørelsens § 11, stk. 1, er det fastsat, at der kun må gives adgang til personoplysninger for personer, som direkte er autoriserede hertil. Det forudsættes, at der fastlægges en formel autorisationsordning og -arbejdsgang.

I bekendtgørelsens § 11, stk. 2, fastslås det, at der kun må autoriseres personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Alle andre personer, også øvrige medarbejdere hos den dataansvarlige myndighed, er i forbindelse med den omhandlede behandling uvedkommende og må ikke have adgang til oplysningerne.

Tilsvarende betragtninger ligger bag begrænsningen i autorisationen til kun at omfatte anvendelser, som de enkelte brugere har behov for. Det forudsættes, at der i den formelle autorisationsprocedure vil indgå en forudgående vurdering af, hvad den enkelte bruger har behov for at være autoriseret til. I den formelle autorisationsprocedure kan endvidere fx indgå, at der til den pågældende bruger fremsendes et brev, hvori det nærmere beskrives, hvilke oplysninger brugeren herved autoriseres til at anvende.

Efter Datatilsynets opfattelse bør oplysninger vedrørende personaleadministrative forhold som altovervejende hovedregel kun være tilgængelige for de medarbejdere, der er beskæftigede med personaleadministration. Det gælder i særdeleshed for fortrolige og følsomme oplysninger.

I forbindelse med personaleadministration kan der endvidere forekomme oplysninger, som end ikke alle, der beskæftiger sig med personaleadministration, bør have adgang til.

Derimod har tilsynet ikke indvendinger imod, at der fx gives de øvrige ansatte mere banale oplysninger fra personaleadministrationen, fx om nyansættelser og rokeringer mv.

For brugere, som ikke længere har behov for de autorisationer, de har fået udstedt, skal autorisationerne inddrages. Det gælder fx medarbejdere, som flytter til andet arbejdsområde, eller hvis ansættelsesforhold ophører.

Til bekendtgørelsen har Datatilsynet udsendt vejledning 37 2/4 2001 (sikkerhedsvejledningen).

Bekendtgørelsen og vejledningen kan læses på www.datatilsynet.dk under punktet "lovgivning".

9.9.11.2. Hjemmearbejdspladser

På www.datatilsynet.dk findes der tekster om de sikkerhedsmæssige problemstillinger, som en arbejdsgiver bør være opmærksom på i forbindelse med etablering af hjemmearbejdspladser, samt om medarbejderes brug af privat pc i arbejdsmæssig sammenhæng.

9.9.11.3. Transmission over internettet

www.datatilsynet.dk findes der en tekst om de sikkerhedsmæssige krav ved transmission af personoplysninger over internettet. Som det bl.a. fremgår heraf, skal der ved offentlige myndigheders transmission af fortrolige og følsomme oplysninger via internettet, herunder via e-mail, ske kryptering af de pågældende oplysninger.
Kapitel 9. Sidst revideret 29.06.17