Husker du at undervise dine medarbejdere i GDPR?

Der er ingen, der går på arbejde for at begå et brud på persondatasikkerheden. Alligevel sker det dagligt, at medarbejdere kommer til at håndtere personoplysninger på en måde, så bruddet sker. Det kan f.eks. være:

• En mail, der sendes til en forkert modtager
• Et brev, hvor der vedhæftes oplysninger om andre borgere
• Dokumenter, der gemmes og opbevares på ikke-sikre steder

For at sikre at der sker så få databrud som muligt, er det den dataansvarliges pligt løbende at undervise og orientere medarbejderne om, hvordan de skal udføre deres arbejde, så databrud undgås, og hvad de må og ikke må, når de håndterer personoplysninger. Undervisningen kan ske gennem awareness-tiltag.

Kravet fremgår ikke direkte af GDPR, men er en del af kravet om ansvarlighed, som er et grundlæggende princip i forordningen.

Hvad skal du undervise i og oplyse om?

Virksomheden bør have en grundlæggende politik om informations- og datasikkerhed, som skal følges af alle. I sådan en politik bør det f.eks. oplyses, hvad medarbejderne må bruge computere, mobiltelefoner og andre enheder til, hvordan mail-systemet må anvendes, hvad der må skrives ind i kalendere osv.

Ud over de generelle regler i virksomheden så er det også vigtigt, at hver medarbejder undervises og orienteres om, hvordan vedkommendes arbejde må udføres, når der indgår personoplysninger. Medarbejderne skal læres op i de it-systemer, der anvendes, og kende til alle retningslinjer, der vedrører udførelsen af den konkrete opgave.

Når retningslinjerne ændres, f.eks. fordi der er sket et databrud, skal alle relevante medarbejdere orienteres om de nye retningslinjer.

Sikkerhed er et ledelsesansvar

Den enkelte medarbejder er naturligvis forpligtet til selv at sikre, at arbejdet udføres, så der ikke sker brud på persondatasikkerheden, men det er ledelsens ansvar at kunne dokumentere, at medarbejderne er blevet undervist i eller orienteret om virksomhedens politikker og krav til datasikkerhed.

Awareness er en sikkerhedsforanstaltning, der er en væsentlig del af det at sikre et tilstrækkeligt sikkerhedsniveau – uanset om det er konkret undervisning eller blot orientering af medarbejderne.

I juni 2020 fandt Datatilsynet f.eks. ikke grund til at kritisere en virksomhed, selv om der var sket et alvorligt databrud. Virksomheden kunne nemlig dokumentere, at der var gennemført e-learning ved ansættelsen, og at der var udarbejdet personalehåndbog og informationssikkerhedspolitik med oplysning om sikkerhedskrav.

Virksomheden kunne desuden dokumentere, at der var sendt mail til de involverede medarbejdere med oplysning om sikkerhedskrav, og at denne mail desuden var gennemgået på et personalemøde.

Hvor ofte skal du undervise medarbejderne om GDPR?

Awareness-tiltag skal gennemføres løbende og med passende interval. Og hvad er det så? Det afhænger af, hvilke personoplysninger der indgår i den enkelte arbejdsopgave og hvordan. En medarbejder, der sjældent kommer i nærheden af personoplysninger, skal ikke undervises ofte. En medarbejder, der hver dag behandler meget følsomme personoplysninger om mange mennesker, skal undervises ofte.

Undervisning kan f.eks. være e-learning, men det kan i nogle tilfælde være tilstrækkeligt at orientere medarbejdere på et personalemøde. Her skal det dog sikres, at alle medarbejdere er til stede, og at dem, der ikke er, bliver orienteret på anden vis. Awareness kan udføres på mange måder, og der er ikke krav til, hvordan du sikrer, at dine medarbejdere kender til reglerne. Men det er et krav, at du kan dokumentere, at medarbejderne er undervist og orienteret.

Vær opmærksom på, at det i mange tilfælde ikke vil være tilstrækkeligt med side-mands-oplæring.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til, hvordan du kan efterleve kravene i GDPR, herunder hvordan du kan undervise dine medarbejdere, så er du altid velkommen til at kontakte vores specialister i databeskyttelse. Vi kan både rådgive dig og udarbejde konkrete undervisningsoplæg om GDPR.