INTERNT REGELSÆT
Der er ikke noget krav om at have et internt regelsæt, der skal regulere behandlingen af personoplysninger. I forhold til dokumentation er det dog ofte nødvendigt at have et sådant regelsæt alligevel. Regelsættet kan indeholde regler om:
- Sikkerhedsforanstaltninger (fx hvornår oplysninger skal kryptereres)
- Hvordan skal de ansatte meddele sygdom
- Kompetenceregler (hvilke ansatte har adgang til hvilke oplysninger, og hvilke ansatte må ikke få adgang til personoplysninger, fx kun HR-ansvarlige og ledelsen skal have adgang til oplysninger om de ansattes helbred
- Procedurer for bestemte scenarier (hvem skal gøre hvad i tilfælde af sikkerhedsbrud eller der kommer en henvendelse fra en registreret)
Der findes ikke et standardregelsæt, der passer på alle virksomheder. Justitsministeriet har udarbejdet sikkerhedsbekendtgørelsen, der fungerer som et standard sikkerhedsregelsæt for offentlige myndigheder, som man kan blive inspireret af.. Man kan også søge inspiration i ISO27000-standarderne.
LEONI ADVOKATERS SAMARBEJDSPARTNERE
For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden netIP.
På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.
Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden netIP, der giver gode råd til, hvordan din virksomhed kan indrette sig it-teknisk.
netIP anbefaler - Godt begyndt, halv fuldendt
En mulig praktisk tilgang til at afdække ”IT-vinklen” i jeres arbejde ift. forordningen, er at I f.eks. parallelt med udarbejdelsen/gennemgangen af dokumentationen og opgaverne, som nævnt tidligere i nyhedsbrevet noterer, hvor I har ”sat strøm” til data-involverende arbejdsgange.
Afdæk evt. også hvor data blot krydser IT, samt lige så vigtigt hvor IT ikke benyttes. Herved har I dannet jer en bruttoliste, på hvilket grundlag I kan prioritere ift. hvilken slags information, der berøres, enten personhenførbare eller –følsomme.
Listen kan efterfølgende være jeres arbejdsdokument. For hvert pkt. kan I dokumentere, hvordan jeres virksomhed sikrer efterlevelse af de grundlæggende principper, navnligt: Lovlighed, rimelighed, gennemsigtighed, formålsbegrænsning, dataminimering, rigtighed, opbevaringsbegrænsning, integritet og fortrolighed.
Finder I steder, hvor I måske ikke helt efterlever alle principperne, vil I have en opgave med enten at foranstalte en organisatorisk sikring, fx i form af en dokumenteret instruks af medarbejdere, der er involveret i givne arbejdsgang/proces, og/eller en IT-sikkerhedspolitik. Eller en opgave med at afklare hvorledes IT kan tilføjes, der tager hånd om manglen, og vurdere dette ift. de økonomiske og eventuelt ressourcemæssige omkostninger til ibrugtagning deraf.
AKON Anbefaler - Forbered medarbejdere med små dryp..
Ordet ”persondataforordning” skal helst ikke være nyt for medarbejderne, når den træder i kraft d 25. maj i år. Optimalt har de hørt den nævnt med jævne mellemrum, lige siden den blev en kendsgerning. En mulighed er via personalemøder og nyhedsmails at informere om, hvor langt man er kommet med forberedelserne, hvilke konsekvenser man forventer, at det vil få for virksomheden, og hvornår og hvordan implementeringen skal foregå.
De små dryp gør os klar. Det betyder, at der bliver skabt nogle kognitive stier i vore hjerner, hvorpå implementeringen kan gå. Nogle eksempler: Så der er noget med, hvordan vi håndter mails? Det er også noget med, hvordan vi genner informationer? Mine børn skal nok ikke længere låne firma-Ipaden til at spille på, når der på den er adgang til mine mails. Nogle af os skal være superbruger og andre af os for sidemandsoplæring osv. For hvert dryp forberedes medarbejderne på det nye.
Alternativet er at fortælle medarbejderne d 24. maj, at fra og med i morgen skal vi arbejde anderledes. Det vil med stor sandsynlighed skabe kaos i hovederne, hvor spørgsmål og frustrationer fremkalder en ufremkommelig jungle for hovedparten af medarbejderne. Derfor dryp…
ØNSKER DU AT VIDE MERE?
Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for.
Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig.
Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.