GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Organisatoriske foranstaltninger

Berettigelsesstyring er en vigtig sikkerhedsforanstaltning i henhold til GDPR

Når en virksomhed behandler personoplysninger, er det sjældent nødvendigt for alle medarbejdere i virksomheden at have adgang til personoplysningerne. Derfor er det vigtigt, at virksomheden implementerer autorisationsstyring for at sikre, at de rigtige personer får adgang til dem. Det betyder, at virksomheden skal kontrollere medarbejdernes adgangsrettigheder inden for virksomhedens forskellige digitale systemer, der anvendes til behandling af personoplysninger.

Princippet om "need to know"-adgang

“Need to know-grundlag” er et princip om, at kun personer, der har brug for adgang til personoplysninger i en organisation for at kunne udføre deres arbejde, bør have adgang til det. Dette kan indebære adgang til forskellige dokumenter og optegnelser, der indeholder personoplysninger. Eller adgangsrettigheder til hele systemet. 

For eksempel indeholder et finansielt system personoplysninger om både virksomhedens medarbejdere og kunder. Det er ofte ikke nødvendigt for alle i personalet at have adgang til det finansielle system, men i stedet kan det være nok for nogle få at have det. For eksempel de medarbejdere, der arbejder med økonomi og regnskab i virksomheden.

What breaches of the GDPR can lead to an administrative fine?

Forskel mellem kompetence og magt

Kompetence og autoritet er to vigtige begreber i loven, men mange forveksler dem. Disse to begreber er centrale i GDPR-sammenhæng og omhandler adgang til og håndtering af personoplysninger i en virksomhed. Disse har især at gøre med medarbejdernes roller, samt hvad de kan eller kan gøre med personoplysninger.  

Sensitive personal data according to GDPR

Støtteberettigelse (autorisation)

Kort sagt henviser dette til den adgang, en medarbejder har til personoplysninger. Dette henviser til, hvilke personoplysninger medarbejderen teknisk set kan få adgang til. Det drejer sig bl.a. om, hvilken systemadgang medarbejderen har, f.eks. loginoplysninger og brugerkonti til systemer, der behandler personoplysninger. Et konkret eksempel på, hvornår en medarbejder har tilladelse til at få adgang til et system, er følgende: Medarbejderen har tilladelse til at logge ind i virksomhedens CRM-system, hvor kundernes personoplysninger befinder sig, ved at virksomhedens administrerende direktør har oprettet en brugerkonto til systemet for medarbejderen.

What is the definition of anonymised data?

Strøm (instruktion/tilladelse)

Det handler om, hvad en medarbejder faktisk har lov til at gøre med personoplysningerne. Det vil sige den politik eller instruktion, der regulerer, hvordan personoplysningerne kan behandles af medarbejderen. Herunder hvornår og hvordan medarbejderen vil behandle personoplysningerne. Et eksempel på autorisation er følgende: Medarbejderen har tilladelse til at se alle kunders personoplysninger, der vises i CRM-systemet. Arbejdsgiveren har dog givet klare instrukser om, at medarbejderen kun har bemyndigelse til at behandle personoplysninger om de kunder, som medarbejderen har solgt virksomhedens produkter til. Medarbejderen har derfor ikke myndighed til at behandle andre kunders personoplysninger, selvom medarbejderen har myndighed til at se dem i systemet.

Eksempler på, hvordan en virksomhed kan arbejde med autorisationsstyring

Analyser behovet

Først og fremmest er det vigtigt at analysere behovet for forskellige roller i virksomheden. Det vil sige at finde ud af, hvilke medarbejdere der har brug for adgang til hvilke personoplysninger for at udføre deres opgaver.

Dokument

I henhold til databeskyttelsesforordningen skal virksomheder kunne påvise, at de overholder forordningerne i overensstemmelse med princippet om ansvarlighed som reguleret i databeskyttelsesforordningens artikel 5, stk. 2. Derfor er det godt altid at dokumentere databeskyttelsesarbejdet skriftligt. Derudover kan det forenkle processen for medarbejderne, hvis der er klar dokumentation for, hvem der har brug for adgang til hvilke personoplysninger.

Adgang

Sørg for at kontrollere adgangsrettighederne og tilladelserne for forskellige brugertyper, så de rigtige personer har adgang til de rigtige personoplysninger. Desuden kan det være nyttigt at have forskellige kompetenceniveauer. F.eks. bør ikke alle brugere af et system være "administratorer". I nogle tilfælde er det tilstrækkeligt at give "læsetilladelse", og nogle få har "redigeringsrettigheder".

Rutiner

De, der arbejder med kontrollerende tilladelser inden for virksomheden, bør modtage skriftlige instruktioner om, hvordan man gør det. Den bør også indeholde oplysninger om betydningen af de forskellige kompetencer for at sikre en korrekt fordeling af beføjelser og kompetencer. Det er også vigtigt at have en procedure for tilbagekaldelse af tildelte adgangsrettigheder. For eksempel, når en medarbejder opsiger deres ansættelse i virksomheden.

Mere info om økologiske foranstaltninger

Uddannelse af medarbejdere i GDPR og databeskyttelse generelt

Virksomheder bør uddanne deres medarbejdere i databeskyttelse, herunder GDPR. Dette betyder dog ikke nødvendigvis, at alle medarbejdere skal være opmærksomme på alle regler i GDPR. Hvis en virksomhed har flere afdelinger, er det godt at uddanne medarbejderne i hver afdeling på ting, der er relevante for deres specifikke opgaver. Desuden bør virksomhederne tilbyde yderligere uddannelse til deres databeskyttelsesrådgiver, hvis de har en sådan. Grunden til, at uddannelse er særlig vigtig, er, at det i praksis er medarbejderne, der behandler personoplysninger, og hvis det ikke gøres korrekt, er det virksomheden, der anses for at være i strid med GDPR. 

Vil du lære mere?

Læs mere
Scroll to Top