DA
Persondata

Databeskyttelse og hjemmearbejde

13. december 2018

Datatilsynet har offentliggjort en ny vejledning om databeskyttelse i ansættelsesforhold. Vejledningen kommer ind på flere af de udfordringer vedrørende databeskyttelse, som kan opstå i ansættelsesforhold, men vejledningen omtaler ikke hjemmearbejde og distancearbejde. I dette nyhedsbrev fokuserer vi derfor på de databeskyttelsesretlige udfordringer, som arbejdsgivere skal være opmærksomme på, hvis virksomheden tillader hjemmearbejde, eller hvis der fx udføres arbejde under forretningsrejser.

Når medarbejdere arbejder hjemmefra, får medarbejderen adgang til virksomhedens data, mens medarbejderen befinder sig uden for virksomhedens rammer. Det kan medføre en risiko i forhold til beskyttelsen af persondata, da hjemmearbejdspladser sjældent er udstyret med de samme sikkerhedsforanstaltninger, som der er på virksomheden.

Hvordan sikrer man hjemmearbejdspladsen?

Datatilsynet har tidligere offentliggjort en vejledning om, hvordan arbejdsgivere kan sikre, at data behandles forsvarligt, når medarbejdere arbejder hjemmefra. Denne vejledning er ikke længere tilgængelig, men indholdet kan give et indtryk af, hvilke tiltag man kan gøre brug af for at sikre hjemmearbejdspladsen.

I Datatilsynets tidligere vejledning var der blandt andet krav om følgende forhold:

  • Hvis der lagres oplysninger fra virksomhedens system på den computer, som medarbejderen bruger hjemme, bør oplysningerne krypteres. Arbejdsgiveren bør også fastsætte regler om udskrivninger af oplysninger på computeren, så man sikrer sig, at fysiske udskrifter opbevares forsvarligt og tilintetgøres, når de ikke længere skal bruges. Derudover bør der fastlægges retningslinjer for den trådløse udveksling af data, hvis der trådløst udveksles data mellem computer og printer.
  • Hvis den computer, som medarbejderen bruger derhjemme, også må anvendes til andre formål, fx privat brug, skal arbejdsgiveren fastlægge retningslinjer for brugen og sikre, at der er tilstrækkelige sikkerhedsforanstaltninger tilstede. Man kan fx bruge passwords, tilbagekald eller lukkede brugergrupper.
  • Endelig bør arbejdsgiveren overveje, om der er risici forbundet med den måde, som hjemmearbejdspladsen opretter forbindelse til virksomhedens centrale system på. Hvis forbindelsen etableres ved hjælp af opkaldsforbindelse, fx analog telefonforbindelse, mobiltelefon m.v., skal arbejdsgiveren sikre, at uvedkommende ikke kan gribe ind i kommunikationen.
  • Arbejdsgiveren bør til slut sikre en vis fysisk tyverisikring af hjemmet til beskyttelse mod tyveri og hærværk, da hjemmet ofte ikke er lige så godt sikret mod andres indtrængen som virksomhedens faciliteter. Risikoen for tyveri, aflytning af datatransmission osv. er derfor alt andet lige højere hjemme hos medarbejderen end på den almindelige arbejdsplads.

Arbejde under rejser

Datatilsynets nye vejledning tager heller ikke stilling til de databeskyttelsesretlige udfordringer, der kan opstå, når en medarbejder arbejder fra udlandet. Det er en hårfin grænse, om der sker en overførsel af oplysninger til et tredjeland, når medarbejderen opretter forbindelse til virksomhedens servere og arbejder, mens medarbejderen befinder sig uden for EU. Ligesom når medarbejderen arbejder hjemmefra, er det også vigtigt at sikre, at persondata behandles forsvarligt, når medarbejderen arbejder fra udlandet. Arbejdsgiveren kan derfor med fordel bruge en VPN-forbindelse til at styrke datasikkerheden.

IUNO mener

I den nye vejledning om databeskyttelse i forbindelse med ansættelsesforhold tager Datatilsynet ikke stilling til de udfordringer, der kan opstå, når medarbejdere arbejder hjemmefra eller under rejser i udlandet. Da den gamle vejledning om hjemmearbejdspladser er fjernet fra Datatilsynets hjemmeside, ville det ellers have været hensigtsmæssigt at tage forholdet med i den nye vejledning. Der er ikke regler i den nye regulering, der direkte vedrører hjemmearbejde, men sikkerhedskravene i den nye regulering er generelt blevet skærpet, hvilket indirekte også vil kunne påvirke datatilsynets vurdering af sikkerhedsbrud mv. ved hjemmearbejde.

IUNO anbefaler, at arbejdsgivere fastsætter retningslinjer, der sikrer, at virksomhedens persondata behandles forsvarligt, når medarbejderne arbejder hjemmefra og fra udlandet. Det er også vigtigt, at arbejdsgiverne aktivt fører tilsyn med, at retningslinjerne overholdes i praksis.

Når medarbejdere arbejder hjemmefra, får medarbejderen adgang til virksomhedens data, mens medarbejderen befinder sig uden for virksomhedens rammer. Det kan medføre en risiko i forhold til beskyttelsen af persondata, da hjemmearbejdspladser sjældent er udstyret med de samme sikkerhedsforanstaltninger, som der er på virksomheden.

Hvordan sikrer man hjemmearbejdspladsen?

Datatilsynet har tidligere offentliggjort en vejledning om, hvordan arbejdsgivere kan sikre, at data behandles forsvarligt, når medarbejdere arbejder hjemmefra. Denne vejledning er ikke længere tilgængelig, men indholdet kan give et indtryk af, hvilke tiltag man kan gøre brug af for at sikre hjemmearbejdspladsen.

I Datatilsynets tidligere vejledning var der blandt andet krav om følgende forhold:

  • Hvis der lagres oplysninger fra virksomhedens system på den computer, som medarbejderen bruger hjemme, bør oplysningerne krypteres. Arbejdsgiveren bør også fastsætte regler om udskrivninger af oplysninger på computeren, så man sikrer sig, at fysiske udskrifter opbevares forsvarligt og tilintetgøres, når de ikke længere skal bruges. Derudover bør der fastlægges retningslinjer for den trådløse udveksling af data, hvis der trådløst udveksles data mellem computer og printer.
  • Hvis den computer, som medarbejderen bruger derhjemme, også må anvendes til andre formål, fx privat brug, skal arbejdsgiveren fastlægge retningslinjer for brugen og sikre, at der er tilstrækkelige sikkerhedsforanstaltninger tilstede. Man kan fx bruge passwords, tilbagekald eller lukkede brugergrupper.
  • Endelig bør arbejdsgiveren overveje, om der er risici forbundet med den måde, som hjemmearbejdspladsen opretter forbindelse til virksomhedens centrale system på. Hvis forbindelsen etableres ved hjælp af opkaldsforbindelse, fx analog telefonforbindelse, mobiltelefon m.v., skal arbejdsgiveren sikre, at uvedkommende ikke kan gribe ind i kommunikationen.
  • Arbejdsgiveren bør til slut sikre en vis fysisk tyverisikring af hjemmet til beskyttelse mod tyveri og hærværk, da hjemmet ofte ikke er lige så godt sikret mod andres indtrængen som virksomhedens faciliteter. Risikoen for tyveri, aflytning af datatransmission osv. er derfor alt andet lige højere hjemme hos medarbejderen end på den almindelige arbejdsplads.

Arbejde under rejser

Datatilsynets nye vejledning tager heller ikke stilling til de databeskyttelsesretlige udfordringer, der kan opstå, når en medarbejder arbejder fra udlandet. Det er en hårfin grænse, om der sker en overførsel af oplysninger til et tredjeland, når medarbejderen opretter forbindelse til virksomhedens servere og arbejder, mens medarbejderen befinder sig uden for EU. Ligesom når medarbejderen arbejder hjemmefra, er det også vigtigt at sikre, at persondata behandles forsvarligt, når medarbejderen arbejder fra udlandet. Arbejdsgiveren kan derfor med fordel bruge en VPN-forbindelse til at styrke datasikkerheden.

IUNO mener

I den nye vejledning om databeskyttelse i forbindelse med ansættelsesforhold tager Datatilsynet ikke stilling til de udfordringer, der kan opstå, når medarbejdere arbejder hjemmefra eller under rejser i udlandet. Da den gamle vejledning om hjemmearbejdspladser er fjernet fra Datatilsynets hjemmeside, ville det ellers have været hensigtsmæssigt at tage forholdet med i den nye vejledning. Der er ikke regler i den nye regulering, der direkte vedrører hjemmearbejde, men sikkerhedskravene i den nye regulering er generelt blevet skærpet, hvilket indirekte også vil kunne påvirke datatilsynets vurdering af sikkerhedsbrud mv. ved hjemmearbejde.

IUNO anbefaler, at arbejdsgivere fastsætter retningslinjer, der sikrer, at virksomhedens persondata behandles forsvarligt, når medarbejderne arbejder hjemmefra og fra udlandet. Det er også vigtigt, at arbejdsgiverne aktivt fører tilsyn med, at retningslinjerne overholdes i praksis.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata

24. maj 2019

Må virksomheder overvåge, om medarbejderne overholder persondatareglerne?

logo

12. april 2019

Manglende træning af virksomhedens medarbejdere kan udløse bøder

logo

22. februar 2019

Er vikarer og konsulenter databehandlere?

logo
Persondata

28. januar 2019

Uklart samtykke og manglende gennemsigtighed koster dyrt

logo
Persondata Corporate

22. januar 2019

Har din virksomhed styr på persondata inden revisionen?

logo

18. januar 2019

Husk oplysningspligten

Events

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret

// COOKIE INFORMATION POPUP SCRIPT