Databeskyttelse og hjemmearbejde
Datatilsynet har offentliggjort en ny vejledning om databeskyttelse i ansættelsesforhold. Vejledningen kommer ind på flere af de udfordringer vedrørende databeskyttelse, som kan opstå i ansættelsesforhold, men vejledningen omtaler ikke hjemmearbejde og distancearbejde. I dette nyhedsbrev fokuserer vi derfor på de databeskyttelsesretlige udfordringer, som arbejdsgivere skal være opmærksomme på, hvis virksomheden tillader hjemmearbejde, eller hvis der fx udføres arbejde under forretningsrejser.
Når medarbejdere arbejder hjemmefra, får medarbejderen adgang til virksomhedens data, mens medarbejderen befinder sig uden for virksomhedens rammer. Det kan medføre en risiko i forhold til beskyttelsen af persondata, da hjemmearbejdspladser sjældent er udstyret med de samme sikkerhedsforanstaltninger, som der er på virksomheden.
Hvordan sikrer man hjemmearbejdspladsen?
Datatilsynet har tidligere offentliggjort en vejledning om, hvordan arbejdsgivere kan sikre, at data behandles forsvarligt, når medarbejdere arbejder hjemmefra. Denne vejledning er ikke længere tilgængelig, men indholdet kan give et indtryk af, hvilke tiltag man kan gøre brug af for at sikre hjemmearbejdspladsen.
I Datatilsynets tidligere vejledning var der blandt andet krav om følgende forhold:
- Hvis der lagres oplysninger fra virksomhedens system på den computer, som medarbejderen bruger hjemme, bør oplysningerne krypteres. Arbejdsgiveren bør også fastsætte regler om udskrivninger af oplysninger på computeren, så man sikrer sig, at fysiske udskrifter opbevares forsvarligt og tilintetgøres, når de ikke længere skal bruges. Derudover bør der fastlægges retningslinjer for den trådløse udveksling af data, hvis der trådløst udveksles data mellem computer og printer.
- Hvis den computer, som medarbejderen bruger derhjemme, også må anvendes til andre formål, fx privat brug, skal arbejdsgiveren fastlægge retningslinjer for brugen og sikre, at der er tilstrækkelige sikkerhedsforanstaltninger tilstede. Man kan fx bruge passwords, tilbagekald eller lukkede brugergrupper.
- Endelig bør arbejdsgiveren overveje, om der er risici forbundet med den måde, som hjemmearbejdspladsen opretter forbindelse til virksomhedens centrale system på. Hvis forbindelsen etableres ved hjælp af opkaldsforbindelse, fx analog telefonforbindelse, mobiltelefon m.v., skal arbejdsgiveren sikre, at uvedkommende ikke kan gribe ind i kommunikationen.
- Arbejdsgiveren bør til slut sikre en vis fysisk tyverisikring af hjemmet til beskyttelse mod tyveri og hærværk, da hjemmet ofte ikke er lige så godt sikret mod andres indtrængen som virksomhedens faciliteter. Risikoen for tyveri, aflytning af datatransmission osv. er derfor alt andet lige højere hjemme hos medarbejderen end på den almindelige arbejdsplads.
Arbejde under rejser
Datatilsynets nye vejledning tager heller ikke stilling til de databeskyttelsesretlige udfordringer, der kan opstå, når en medarbejder arbejder fra udlandet. Det er en hårfin grænse, om der sker en overførsel af oplysninger til et tredjeland, når medarbejderen opretter forbindelse til virksomhedens servere og arbejder, mens medarbejderen befinder sig uden for EU. Ligesom når medarbejderen arbejder hjemmefra, er det også vigtigt at sikre, at persondata behandles forsvarligt, når medarbejderen arbejder fra udlandet. Arbejdsgiveren kan derfor med fordel bruge en VPN-forbindelse til at styrke datasikkerheden.
IUNO mener
I den nye vejledning om databeskyttelse i forbindelse med ansættelsesforhold tager Datatilsynet ikke stilling til de udfordringer, der kan opstå, når medarbejdere arbejder hjemmefra eller under rejser i udlandet. Da den gamle vejledning om hjemmearbejdspladser er fjernet fra Datatilsynets hjemmeside, ville det ellers have været hensigtsmæssigt at tage forholdet med i den nye vejledning. Der er ikke regler i den nye regulering, der direkte vedrører hjemmearbejde, men sikkerhedskravene i den nye regulering er generelt blevet skærpet, hvilket indirekte også vil kunne påvirke datatilsynets vurdering af sikkerhedsbrud mv. ved hjemmearbejde.
IUNO anbefaler, at arbejdsgivere fastsætter retningslinjer, der sikrer, at virksomhedens persondata behandles forsvarligt, når medarbejderne arbejder hjemmefra og fra udlandet. Det er også vigtigt, at arbejdsgiverne aktivt fører tilsyn med, at retningslinjerne overholdes i praksis.
Når medarbejdere arbejder hjemmefra, får medarbejderen adgang til virksomhedens data, mens medarbejderen befinder sig uden for virksomhedens rammer. Det kan medføre en risiko i forhold til beskyttelsen af persondata, da hjemmearbejdspladser sjældent er udstyret med de samme sikkerhedsforanstaltninger, som der er på virksomheden.
Hvordan sikrer man hjemmearbejdspladsen?
Datatilsynet har tidligere offentliggjort en vejledning om, hvordan arbejdsgivere kan sikre, at data behandles forsvarligt, når medarbejdere arbejder hjemmefra. Denne vejledning er ikke længere tilgængelig, men indholdet kan give et indtryk af, hvilke tiltag man kan gøre brug af for at sikre hjemmearbejdspladsen.
I Datatilsynets tidligere vejledning var der blandt andet krav om følgende forhold:
- Hvis der lagres oplysninger fra virksomhedens system på den computer, som medarbejderen bruger hjemme, bør oplysningerne krypteres. Arbejdsgiveren bør også fastsætte regler om udskrivninger af oplysninger på computeren, så man sikrer sig, at fysiske udskrifter opbevares forsvarligt og tilintetgøres, når de ikke længere skal bruges. Derudover bør der fastlægges retningslinjer for den trådløse udveksling af data, hvis der trådløst udveksles data mellem computer og printer.
- Hvis den computer, som medarbejderen bruger derhjemme, også må anvendes til andre formål, fx privat brug, skal arbejdsgiveren fastlægge retningslinjer for brugen og sikre, at der er tilstrækkelige sikkerhedsforanstaltninger tilstede. Man kan fx bruge passwords, tilbagekald eller lukkede brugergrupper.
- Endelig bør arbejdsgiveren overveje, om der er risici forbundet med den måde, som hjemmearbejdspladsen opretter forbindelse til virksomhedens centrale system på. Hvis forbindelsen etableres ved hjælp af opkaldsforbindelse, fx analog telefonforbindelse, mobiltelefon m.v., skal arbejdsgiveren sikre, at uvedkommende ikke kan gribe ind i kommunikationen.
- Arbejdsgiveren bør til slut sikre en vis fysisk tyverisikring af hjemmet til beskyttelse mod tyveri og hærværk, da hjemmet ofte ikke er lige så godt sikret mod andres indtrængen som virksomhedens faciliteter. Risikoen for tyveri, aflytning af datatransmission osv. er derfor alt andet lige højere hjemme hos medarbejderen end på den almindelige arbejdsplads.
Arbejde under rejser
Datatilsynets nye vejledning tager heller ikke stilling til de databeskyttelsesretlige udfordringer, der kan opstå, når en medarbejder arbejder fra udlandet. Det er en hårfin grænse, om der sker en overførsel af oplysninger til et tredjeland, når medarbejderen opretter forbindelse til virksomhedens servere og arbejder, mens medarbejderen befinder sig uden for EU. Ligesom når medarbejderen arbejder hjemmefra, er det også vigtigt at sikre, at persondata behandles forsvarligt, når medarbejderen arbejder fra udlandet. Arbejdsgiveren kan derfor med fordel bruge en VPN-forbindelse til at styrke datasikkerheden.
IUNO mener
I den nye vejledning om databeskyttelse i forbindelse med ansættelsesforhold tager Datatilsynet ikke stilling til de udfordringer, der kan opstå, når medarbejdere arbejder hjemmefra eller under rejser i udlandet. Da den gamle vejledning om hjemmearbejdspladser er fjernet fra Datatilsynets hjemmeside, ville det ellers have været hensigtsmæssigt at tage forholdet med i den nye vejledning. Der er ikke regler i den nye regulering, der direkte vedrører hjemmearbejde, men sikkerhedskravene i den nye regulering er generelt blevet skærpet, hvilket indirekte også vil kunne påvirke datatilsynets vurdering af sikkerhedsbrud mv. ved hjemmearbejde.
IUNO anbefaler, at arbejdsgivere fastsætter retningslinjer, der sikrer, at virksomhedens persondata behandles forsvarligt, når medarbejderne arbejder hjemmefra og fra udlandet. Det er også vigtigt, at arbejdsgiverne aktivt fører tilsyn med, at retningslinjerne overholdes i praksis.
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet