Som tendensen er nu, vil flere medarbejdere end i tiden før corona-nedlukningen, oftere arbejde hjemmefra. Både medarbejdere og virksomheder har fået øje på de mange fordele.
Dengang medarbejderne blev sendt hjem, gik det så hurtigt, at de færreste virksomheder nåede at udstikke retningslinjer og instrukser for persondatasikkerheden. Det bør der gøres noget ved nu.
Formildende omstændighed
Datatilsynet har understreget, at de persondataretlige regler som udgangspunkt ikke kan lempes og at alle skal overholde dem. Det gælder også i særlige situationer, sådan som nedlukningen af samfundet i marts var. Dog kunne den helt særlige situation, vi var i, være en formildende omstændighed hvis Datatilsynet konstaterede et brud på reglerne og skulle fastsætte en sanktion.
Denne ”formildende omstændighed” er ikke længere til stede.
Virksomhederne har haft tid til at indrette sig og til at få styr på persondatasikkerheden ved hjemmearbejde.
Problemstillingerne
Datatilsynet offentliggjorde i midten af marts 2020 en kort artikel med overskriften ”Gode råd om hjemmearbejde”. Den finder du HER.
Nogen af de problemstillinger, der kan være i forbindelse med hjemmearbejde, er eksempelvis:
- Det trådløse netværk er ikke sikret tilstrækkeligt, bl.a. kan koden være for let at gennemskue
- PC’erne opdateres ikke automatisk, men medarbejderen skal instrueres i at gøre det
- Manglende anti-virus
- Opkoblingen til virksomhedens netværk er utilstrækkeligt sikret
- Manglende systemlogning og kontrol mv.
- Mulighed for at installere ”fremmed” software
- Ingen sikring i forbindelse med opbevaring af fysiske dokumenter
- Bortskaffelse af fysiske dokumenter sker i husstandens skraldespand
På Center for Cybersikkerheds hjemmeside kan du læse om de it-mæssige udfordringer og nødvendige tiltag. Se HER.
Instrukser og retningslinjer
Ud over den it-mæssige sikkerhed er gode instrukser og retningslinjer vigtige – alene af den grund, at man som medarbejder ikke altid har GDPR i tankerne, og derfor nemt kan træde ved siden af, uden at ville det.
Et par af de instrukser, virksomheden kan udarbejde, kan f.eks. omhandle:
Lagring af data lokalt på medarbejdernes pc
Hvis det er nødvendigt at lagre data lokalt, kan en instruks indeholde vejledning om, at:
- enheden eller filen med dokumentet skal være krypteret
- ingen andre må få adgang til enheden, heller ikke børn, mand/hustru mv.
- dokumentet skal uploades til det oprindelige dokument- eller sagsbehandlingssystem så snart, det er muligt – og husk at slette den lokale kopi straks herefter.
Hvad gør du, hvis du konstaterer et databrud?
Indledningsvist er det nødvendigt at informere medarbejderne om, hvad et databrud er. Denne viden skulle medarbejderen allerede have fået via virksomhedens awareness aktiviteter. Men der kan opstå helt nye situationer, når medarbejderen sidder hjemme og disse situationer har der måske ikke tidligere været fokus på.
Et banalt eksempel er printede dokumenter med personoplysninger. Måske opbevares de på reolen til senere makulering. Og måske kommer andre i husstanden til at bruge af disse print til andre formål – en seddel til naboen med et telefonnummer, til at tegne på sammen med vennernes børn osv.
Det er vigtigt, at medarbejderen ved, hvem der skal informeres, hvis medarbejderen bliver opmærksom på, at uvedkommende har haft adgang til personoplysninger. Og at det skal gå hurtigt.
Har du brug for assistance
Hvis du ikke kan finde ressourcerne internt til at udarbejde instrukser og retningslinjer, kan du kontakte mig for assistance. Du finder mine kontaktoplysninger her.