Du er her: Informationssikkerhed Databeskyttelse (GDPR) Om administration Særligt til HR-medarbejdere Datatilsynets 12 minimumskrav til personaleadministration

Datatilsynets 12 minimumskrav til personaleadministration

1. Beskriv hvordan I beskytter jeres personaleoplysninger i personaleadministration og i praksis har implementeret pkt. 2-12.

  • Fremgår af ”Fortrolighedsinstruks til HR-medarbejdere” og ”Fortrolighedsinstruks til sekretariatsmedarbejdere med personaleadministrative opgaver” samt ”Informationssikkerhedspolitik og regler”.

2. Adgang til oplysningerne skal begrænses til personer, der har et sagligt behov for adgang til oplysningerne.

  • Dokument vedrørende ”vurdering af HR kopimodtagere” er udarbejdet.

3. Medarbejdere, der håndterer personaleoplysninger, skal have instruktion og oplæring i, hvad de må gøre med oplysningerne, og hvordan de skal beskytte oplysningerne.

  • Fremgår af ”Fortrolighedsinstruks til HR-medarbejdere” og ”Fortrolighedsinstruks til sekretariatsmedarbejdere med personaleadministrative opgaver” samt ”Informationssikkerhedspolitik og regler”.

4. Personaleoplysninger på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug.

  • Fremgår af ”Fortrolighedsinstruks til HR-medarbejdere” og ”Fortrolighedsinstruks til sekretariatsmedarbejdere med personaleadministrative opgaver”.

5. Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med personoplysninger.

  • Sikres af AU IT og fremgår af ”Informationssikkerhedspolitik og regler” pkt. 4.4.

6. Forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger skal registreres.

  • Sikres af AU IT og HR IT.  

7. Hvis personaleoplysninger lagres på en USB-nøgle, skal oplysningerne beskyttes - f.eks. med adgangskode og kryptering.

  • Fremgår af ”informationssikkerhedspolitik og regler” pkt. 5.2.   

8. PC'er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.

  • Sikres af AU IT. Fremgår af ”informationssikkerhedspolitik og regler” pkt. 5.7.

9. Hvis der benyttes hjemmesideformularer, hvor følsomme personaleoplysninger og personnummer kan indtastes og fremsendes, skal der anvendes kryptering.

  • Sikres af den systemansvarlige: AU IT eller HR IT.

10. Hvis følsomme personaleoplysninger og personnummer sendes med e-mail via internettet, anbefaler Datatilsynet kryptering.

  • Jf. ”Fortrolighedsinstruks til HR-medarbejdere” og ”informationssikkerhedspolitik og regler”. Vejledning udarbejdes af AU IT. AU HR anvender E-boks, hvor det er muligt. Der sendes til oplyste sikre mailbokse.

11. I forbindelse med reparation og service af dataudstyr samt kassering af datamedier, der indeholder personoplysninger, skal der træffes de fornødne foranstaltninger, så oplysninger ikke kan komme til uvedkommendes kendskab.

  • Jf. ”Informationssikkerhedspolitik og regler” pk.t 4.4.

12. Ved brug af en ekstern databehandler til håndtering af oplysninger, skal persondatalovens § 42 om skriftlig databehandleraftale mv. følges.

  • Sikres af den systemansvarlige.  

1444975 / i40