Persondata

Databeskyttelse og hjemmearbejde

13. december 2018

Datatilsynet har offentliggjort en ny vejledning om databeskyttelse i ansættelsesforhold. Vejledningen kommer ind på flere af de udfordringer vedrørende databeskyttelse, som kan opstå i ansættelsesforhold, men vejledningen omtaler ikke hjemmearbejde og distancearbejde. I dette nyhedsbrev fokuserer vi derfor på de databeskyttelsesretlige udfordringer, som arbejdsgivere skal være opmærksomme på, hvis virksomheden tillader hjemmearbejde, eller hvis der fx udføres arbejde under forretningsrejser.

Når medarbejdere arbejder hjemmefra, får medarbejderen adgang til virksomhedens data, mens medarbejderen befinder sig uden for virksomhedens rammer. Det kan medføre en risiko i forhold til beskyttelsen af persondata, da hjemmearbejdspladser sjældent er udstyret med de samme sikkerhedsforanstaltninger, som der er på virksomheden.

Hvordan sikrer man hjemmearbejdspladsen?

Datatilsynet har tidligere offentliggjort en vejledning om, hvordan arbejdsgivere kan sikre, at data behandles forsvarligt, når medarbejdere arbejder hjemmefra. Denne vejledning er ikke længere tilgængelig, men indholdet kan give et indtryk af, hvilke tiltag man kan gøre brug af for at sikre hjemmearbejdspladsen.

I Datatilsynets tidligere vejledning var der blandt andet krav om følgende forhold:

  • Hvis der lagres oplysninger fra virksomhedens system på den computer, som medarbejderen bruger hjemme, bør oplysningerne krypteres. Arbejdsgiveren bør også fastsætte regler om udskrivninger af oplysninger på computeren, så man sikrer sig, at fysiske udskrifter opbevares forsvarligt og tilintetgøres, når de ikke længere skal bruges. Derudover bør der fastlægges retningslinjer for den trådløse udveksling af data, hvis der trådløst udveksles data mellem computer og printer.
  • Hvis den computer, som medarbejderen bruger derhjemme, også må anvendes til andre formål, fx privat brug, skal arbejdsgiveren fastlægge retningslinjer for brugen og sikre, at der er tilstrækkelige sikkerhedsforanstaltninger tilstede. Man kan fx bruge passwords, tilbagekald eller lukkede brugergrupper.
  • Endelig bør arbejdsgiveren overveje, om der er risici forbundet med den måde, som hjemmearbejdspladsen opretter forbindelse til virksomhedens centrale system på. Hvis forbindelsen etableres ved hjælp af opkaldsforbindelse, fx analog telefonforbindelse, mobiltelefon m.v., skal arbejdsgiveren sikre, at uvedkommende ikke kan gribe ind i kommunikationen.
  • Arbejdsgiveren bør til slut sikre en vis fysisk tyverisikring af hjemmet til beskyttelse mod tyveri og hærværk, da hjemmet ofte ikke er lige så godt sikret mod andres indtrængen som virksomhedens faciliteter. Risikoen for tyveri, aflytning af datatransmission osv. er derfor alt andet lige højere hjemme hos medarbejderen end på den almindelige arbejdsplads.

Arbejde under rejser

Datatilsynets nye vejledning tager heller ikke stilling til de databeskyttelsesretlige udfordringer, der kan opstå, når en medarbejder arbejder fra udlandet. Det er en hårfin grænse, om der sker en overførsel af oplysninger til et tredjeland, når medarbejderen opretter forbindelse til virksomhedens servere og arbejder, mens medarbejderen befinder sig uden for EU. Ligesom når medarbejderen arbejder hjemmefra, er det også vigtigt at sikre, at persondata behandles forsvarligt, når medarbejderen arbejder fra udlandet. Arbejdsgiveren kan derfor med fordel bruge en VPN-forbindelse til at styrke datasikkerheden.

IUNO mener

I den nye vejledning om databeskyttelse i forbindelse med ansættelsesforhold tager Datatilsynet ikke stilling til de udfordringer, der kan opstå, når medarbejdere arbejder hjemmefra eller under rejser i udlandet. Da den gamle vejledning om hjemmearbejdspladser er fjernet fra Datatilsynets hjemmeside, ville det ellers have været hensigtsmæssigt at tage forholdet med i den nye vejledning. Der er ikke regler i den nye regulering, der direkte vedrører hjemmearbejde, men sikkerhedskravene i den nye regulering er generelt blevet skærpet, hvilket indirekte også vil kunne påvirke datatilsynets vurdering af sikkerhedsbrud mv. ved hjemmearbejde.

IUNO anbefaler, at arbejdsgivere fastsætter retningslinjer, der sikrer, at virksomhedens persondata behandles forsvarligt, når medarbejderne arbejder hjemmefra og fra udlandet. Det er også vigtigt, at arbejdsgiverne aktivt fører tilsyn med, at retningslinjerne overholdes i praksis.

Når medarbejdere arbejder hjemmefra, får medarbejderen adgang til virksomhedens data, mens medarbejderen befinder sig uden for virksomhedens rammer. Det kan medføre en risiko i forhold til beskyttelsen af persondata, da hjemmearbejdspladser sjældent er udstyret med de samme sikkerhedsforanstaltninger, som der er på virksomheden.

Hvordan sikrer man hjemmearbejdspladsen?

Datatilsynet har tidligere offentliggjort en vejledning om, hvordan arbejdsgivere kan sikre, at data behandles forsvarligt, når medarbejdere arbejder hjemmefra. Denne vejledning er ikke længere tilgængelig, men indholdet kan give et indtryk af, hvilke tiltag man kan gøre brug af for at sikre hjemmearbejdspladsen.

I Datatilsynets tidligere vejledning var der blandt andet krav om følgende forhold:

  • Hvis der lagres oplysninger fra virksomhedens system på den computer, som medarbejderen bruger hjemme, bør oplysningerne krypteres. Arbejdsgiveren bør også fastsætte regler om udskrivninger af oplysninger på computeren, så man sikrer sig, at fysiske udskrifter opbevares forsvarligt og tilintetgøres, når de ikke længere skal bruges. Derudover bør der fastlægges retningslinjer for den trådløse udveksling af data, hvis der trådløst udveksles data mellem computer og printer.
  • Hvis den computer, som medarbejderen bruger derhjemme, også må anvendes til andre formål, fx privat brug, skal arbejdsgiveren fastlægge retningslinjer for brugen og sikre, at der er tilstrækkelige sikkerhedsforanstaltninger tilstede. Man kan fx bruge passwords, tilbagekald eller lukkede brugergrupper.
  • Endelig bør arbejdsgiveren overveje, om der er risici forbundet med den måde, som hjemmearbejdspladsen opretter forbindelse til virksomhedens centrale system på. Hvis forbindelsen etableres ved hjælp af opkaldsforbindelse, fx analog telefonforbindelse, mobiltelefon m.v., skal arbejdsgiveren sikre, at uvedkommende ikke kan gribe ind i kommunikationen.
  • Arbejdsgiveren bør til slut sikre en vis fysisk tyverisikring af hjemmet til beskyttelse mod tyveri og hærværk, da hjemmet ofte ikke er lige så godt sikret mod andres indtrængen som virksomhedens faciliteter. Risikoen for tyveri, aflytning af datatransmission osv. er derfor alt andet lige højere hjemme hos medarbejderen end på den almindelige arbejdsplads.

Arbejde under rejser

Datatilsynets nye vejledning tager heller ikke stilling til de databeskyttelsesretlige udfordringer, der kan opstå, når en medarbejder arbejder fra udlandet. Det er en hårfin grænse, om der sker en overførsel af oplysninger til et tredjeland, når medarbejderen opretter forbindelse til virksomhedens servere og arbejder, mens medarbejderen befinder sig uden for EU. Ligesom når medarbejderen arbejder hjemmefra, er det også vigtigt at sikre, at persondata behandles forsvarligt, når medarbejderen arbejder fra udlandet. Arbejdsgiveren kan derfor med fordel bruge en VPN-forbindelse til at styrke datasikkerheden.

IUNO mener

I den nye vejledning om databeskyttelse i forbindelse med ansættelsesforhold tager Datatilsynet ikke stilling til de udfordringer, der kan opstå, når medarbejdere arbejder hjemmefra eller under rejser i udlandet. Da den gamle vejledning om hjemmearbejdspladser er fjernet fra Datatilsynets hjemmeside, ville det ellers have været hensigtsmæssigt at tage forholdet med i den nye vejledning. Der er ikke regler i den nye regulering, der direkte vedrører hjemmearbejde, men sikkerhedskravene i den nye regulering er generelt blevet skærpet, hvilket indirekte også vil kunne påvirke datatilsynets vurdering af sikkerhedsbrud mv. ved hjemmearbejde.

IUNO anbefaler, at arbejdsgivere fastsætter retningslinjer, der sikrer, at virksomhedens persondata behandles forsvarligt, når medarbejderne arbejder hjemmefra og fra udlandet. Det er også vigtigt, at arbejdsgiverne aktivt fører tilsyn med, at retningslinjerne overholdes i praksis.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Pia

Mark

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata

8. januar 2019

Behandling af persondata i frivillige foreninger

EU-Kommissionen fremlægger nødplan for ”no-deal” Brexit

logo
Persondata

17. december 2018

Sender du stadig oplysninger ukrypteret?

logo
Persondata

10. december 2018

Har du orienteret alle på virksomhedens medieliste?

logo
Persondata

6. december 2018

Ny vejledning om databeskyttelse i ansættelsesforhold

logo
HR-jura Persondata

19. november 2018

Persondataforordningen: Skal mindre virksomheder også føre fortegnelser?

Events

logo
Persondata
15. januar 2020

Updated-morgenmøde d. 15. januar

logo
Persondata
15. januar 2020

Updated-morgenmøde d. 15. januar (Webinar)

logo
Persondata
13. november 2019

Updated-morgenmøde d. 13. november

logo
Persondata
13. november 2019

Updated-morgenmøde d. 13. november (Webinar)

logo
Persondata
18. september 2019

Updated-morgenmøde d. 18. september

logo
Persondata
18. september 2019

Updated-morgenmøde d. 18. september (Webinar)