Arbejdsmiljø

9 gode råd til sikker opbevaring af personoplysninger

Når man opbevarer eller bruger personoplysninger, siger GDPR, at det skal gøres på en sikker måde. Men hvad betyder dette? Det gennemgår denne artikel

I denne artikel gennemgår CRECEAs compliance manager, Frederik Hjorth 9 gode råd til, hvordan du sikkert opbevarer personoplysninger.  

GDPR siger, at når man opbevarer eller bruger personoplysninger, skal dette gøres på en sikker måde. Men hvad betyder det? 

Det betyder bl.a., at både fysiske og digitale dokumenter, der indeholder personoplysninger, bør sikres ved: 

  1. At, dokumenterne kun kan tilgås af relevante medarbejdere og personer
  2. At, dokumenterne er beskyttet mod brand, vandskade mv.
  3. At, dokumenterne er beskyttet mod forkerte ændringer – Vi skal kunne opdage, at et dokument er blevet ændret, og dermed rette eventuelle fejlændringer
  4. At, dokumenterne er sikret mod utilsigtet sletning eller tilintetgørelse
  5. At, dokumenterne er beskyttet mod indbrud, og andre personer med lange fingre.

    Men hvordan kan det gøres i praksis? 

    Det får du 9 gode råd til lige her: 

1.    Sørg for, at I har en backup 
Det er vigtigt at tage backup af de oplysninger, man har liggende. Derfor bør I udelukkende bruge IT-systemer ,hvor der kan tages backup af indholdet. Dette sikrer, at hvis nogen kommer til at slette noget, så kan I genskabe den oprindelige oplysning. 

2.    ”Tagstensprincippet ” – Sørg for, at oplysninger kan reddes 
Som det er beskrevet, skal det sikres, at det udelukkende er relevante personer, der har adgang til data. Dette må dog ikke være så indskrænket, at det kun er én enkelt person, der har adgangen. Det skyldes, at hvis uheldet er ude, og denne ene person er så uheldig at få en tagsten i hovedet, og dermed ikke kommer tilbage, har man mistet oplysningerne, da denne person var den eneste med adgang. Sørg derfor altid for, at mindst to kan tilgå oplysninger. Disse to skal dog have et arbejdsbetinget behov for adgang. 

3.    Face-down og lås din skærm
Hvis du har noget liggende, f.eks. en udprintet medarbejderliste, så skal du sørge for, at oplysningerne ikke kan tilgås af nogen, der ikke har noget at bruge oplysningerne til. Dette gælder både for fysiske og digitale dokumenter. 
I den forbindelse, bør I bruge Face-down-princippet, hvor man lige vender det fysiske dokument med den blanke side opad, hvis man forlader dokumentet  - også kortvarigt. Det samme gælder, når det kommer til dokumenter på din computer (digitale dokumenter), her skal man huske at låse sin skærm, når man forlader den, også selvom man kun forlader sin plads og skærmen kortvarigt.  

4.    Skriv ned og notér: Hvem har adgang og hvorfor? 
Når princippet om, at det kun er personer med et arbejdsbetinget behov, som bør have adgang til personoplysninger gælder, så kan det være en god ide løbende at notere, hvem der har adgang til hvilke mapper, arkivskabe mv., og hvorfor de har adgang. Dermed kan I dokumentere, at I bruger princippet. 

5.    Skriv ned og notér: Hvornår sletter vi?
Når man indsamler og bruger personoplysninger, er det vigtigt, at man sørger for at slette oplysningerne, når/hvis der ikke længere er et formål ELLER en ret til at indsamle eller bruge dem. For at sikre dette, er det vigtigt at notere for hvert formål, hvornår man vil slette personoplysningerne. Det kan f.eks. være: ”Oplysninger på pårørendelisten slettes, når en medarbejder stopper”. 

6.    Brug IT-systemer der har en log
Når man bruger eller opbevare personoplysninger digitalt (via et IT-system), bør man være i stand til at se, hvem der har foretaget en ændring, samt hvornår ændringen er foretaget. Hvis man f.eks. har et digitalt HR-system, bør man sikre sig, at man i systemet kan se, hvem der har adgang til det, og hvem der har foretaget en ændring på f.eks. medarbejderens lønforhold i systemet.  

7.    Del ikke password eller loginoplysninger 
Når man har et login til sin computer, en hjemmeside eller et IT-system, er der tale om et personligt login. Dette betyder, at man som udgangspunkt ikke skal dele sit login med andre. Hvis andre også har behov for at få en adgang, skal de have deres egen adgang. 

8.    Fysiske dokumenter bør låses inde
Hvis man har fysiske dokumenter, der indeholder personoplysninger, gælder reglerne for GDPR. Derfor skal man sørge for at disse ikke kan tilgås af personer, som ikke har noget at bruge oplysningerne/dokumenterne til. Man bør derfor låse fysiske dokumenter inde i et arkivskab, arkivskuffe eller lignende, når man forlader arbejdspladsen. Hvis der f.eks. kommer indbrud, betyder dette, at man ved lethed, kan konstatere, om indbrudstyvene har set dokumenterne eller har ”fiflet” med dem. 

9.    Makuler fysiske dokumenter – ellers er de ikke ”slettet” 
Når man skal afskaffe fysiske dokumenter, så er det IKKE tilstrækkeligt at smide dem i en almindelig skraldespand eller papirspand. Fysiske dokumenter skal makuleres via makulator eller aflåst makuleringsspand. 

Har du spørgsmål til Frederik Hjorth, så kan du kontakte ham her:

1625_A

Compliance manager, Frederik Hjorth
Mobil: 29114675
Mail: fh@crecea.dk