GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

ORGANISATISKE SIKKERHEDSFORANSTALTNINGER

Clean-desk rutine som organisatorisk sikkerhedsforanstaltning

For at reducere risikoen for unødig eksponering af personoplysninger er det en god idé at indføre en clean-desk-rutine som en organisatorisk sikkerhedsforanstaltning. 

Hvad er en Clean-Desk rutine?

En clean-desk rutine er en organisatorisk sikkerhedsforanstaltning, som mange virksomheder bør tage. Det er enkelt, men kan være af stor betydning. Kort sagt handler det om at sikre, at materiale, der indeholder personoplysninger eller andre følsomme oplysninger, ikke er tilgængeligt for nogen at se. Det kan være fysisk information, men også digital information. 

Hvilke dele af GDPR en Clean-Desk-rutine kan hjælpe virksomheder med at følge

  • Beskytte personoplysninger mod uautoriseret adgang i overensstemmelse med princippet om integritet og fortrolighed. 
  • Reducerer risikoen for utilsigtede datalækager.
  • Hjælper virksomheden med at påvise overholdelse af GDPR i overensstemmelse med princippet om ansvarlighed.
What breaches of the GDPR can lead to an administrative fine?

Hvornår er clean-desk rutiner særligt vigtige?

  • Arbejdsmiljøer. 
  • Kontorer, der får mange besøgende. 
  • Finansafdelingerne.
  • HR-afledninger. 
  • Hvis en virksomhed behandler følsomme personoplysninger. 
  • Telearbejde i et offentligt miljø. 
  • Hvis arbejdspladsen er i nærheden af et vindue, som folk passerer forbi.

Definition af brud på persondatasikkerheden

Hvis der indtræffer en hændelse, der resulterer i ulovligt eller utilsigtet tab, ændring, tilintetgørelse, uautoriseret adgang til eller videregivelse af personoplysninger, udgør det et brud på persondatasikkerheden. Et brud på persondatasikkerheden er en sikkerhedshændelse. Det er ligegyldigt, om det var med vilje eller ej. Brud på persondatasikkerheden kan have alvorlige konsekvenser for de registrerede, og det er derfor vigtigt at forhindre det. Desuden skal visse brud på persondatasikkerheden indberettes til de registrerede, der er blevet berørt, samt til den nationale databeskyttelsesmyndighed. 

Mange brud på persondatasikkerheden sker ved simple fejl

Det er godt at vide, at mange brud på persondatasikkerheden sker ved simple fejl, ikke cyberangreb. Et meget almindeligt brud på persondatasikkerheden er e-mails, der indeholder persondata og sendes til den forkerte modtager. 

Fysisk ren-desk rutine

Hvis medarbejdere på et kontor har papirer på deres arbejdsborde, der indeholder personlige data, for eksempel om kunder, og enhver besøgende går forbi og ser eller kan se de personlige data, er det et brud på persondatasikkerheden. Arbejdstagerne bør derfor undgå at have papirer med personoplysninger åbne på arbejdsbordet.

What is the definition of anonymised data?
Digital clean-desk-rutine

Et andet eksempel er, hvis arbejdstagerne har dokumenter på deres arbejdscomputere, når de f.eks. forlader deres skrivebord for at hente kaffe, hvilket øger risikoen for eksponering og brud på persondatasikkerheden. Derfor bør arbejdstagere have skærmlåse på deres computere, og det kan være nyttigt at have en skærmbeskytter, så forbipasserende ikke kan se indholdet af skærmen fra siden. Desuden bør arbejdstagere lukke deres åbne dokumenter, hvis de forlader deres arbejdsplads af en eller anden grund.

Hvilke regler kan en clean-desk rutine indeholde?

Rengør dit skrivebord dagligt

Efterlad ikke fysiske dokumenter, noter eller noter med personlige eller andre følsomme oplysninger på dit skrivebord i slutningen af arbejdsdagen. Det samme gælder for at lukke alle digitale dokumenter på din computer og slukke den.

Lås opbevaringsrum

Sørg for, at opbevaringsrum, både fysiske og digitale, er låst, når de ikke er i brug.

Brug maskiner, der ødelægger dokumenter

Nogle dokumenter kan være gode at ødelægge, og det er godt at gøre det med makulatorer. Med andre ord en maskine, der ødelægger dokumenter, i stedet for at smide dokumentet direkte i skraldespanden.

Adgangskode beskytter din computer

Sørg altid for at beskytte din computer med adgangskode, så ingen uautoriserede personer kan logge på den.

Opbevar bærbare enheder sikkert

Husk, at alle bærbare enheder skal opbevares sikkert. F.eks. bærbare computere, mobiltelefoner og tablets, der anvendes på arbejdspladsen.

Klare midlertidige noter

Midlertidige notater, såsom post-it-notater med personoplysninger, som medarbejderne bruger i deres arbejde og derfor har på deres skrivebord, bør ryddes, når de ikke længere er nødvendige.

Undgå personoplysninger på whiteboards

Hvis virksomheden bruger whiteboards og noterer personlige data der, er det vigtigt ikke at uautoriserede personer ser det. Det er f.eks. almindeligt at bruge whiteboards i konferencelokaler, der kan bookes af forskellige personer. Derfor bør personoplysninger ikke angives der eller slettes umiddelbart efter mødet.

Hold ikke lister over navne offentligt

En almindelig fejl er at have navnelister offentligt for besøgende uden et retsgrundlag for behandlingen. Det kan være fysisk eller digitalt, hvor besøgende kan se alle navnene på listen.

Glem ikke udskrifter tilbage i printeren

Det er godt at konstant kontrollere udskrifter i en printer, da det sker, at du glemmer dokumenter der.

Vigtige ting at overveje for en Clean-Desk rutine til at arbejde i praksis

Udarbejdelse af skriftlig politik

Det første skridt er at udarbejde en skriftlig politik. Der kan virksomheden blandt andet beskrive, hvordan arbejdsbordene skal se ud, hvilke oplysninger medarbejderne ikke skal give, og hvad de skal tænke på til en clean-desk.

What is the definition of anonymised data?

Information og uddannelse

Det er vigtigt at informere medarbejderne og give dem relevant uddannelse, så de effektivt kan udføre det, der er angivet i politikken.

Sensitive personal data according to GDPR

Sørg for, at clean-desk er inkluderet i onboarding

Information og uddannelse om virksomhedens interne procedurer vedrørende overholdelse af GDPR bør gives i forbindelse med onboardingprocessen. Det vil sige i forbindelse med introduktionen af nye medarbejdere.

Subjektivt integritetskänsliga personuppgifter

Tilpasse arbejdspladsen, så den kan fungere i praksis

For at medarbejderne skal have en clean-desk, er det vigtigt at give dem mulighederne. For eksempel bør virksomheden købe sikre og aflåselige dokumentskabe, makulatorer om nødvendigt, skærmbeskyttere og lignende.

Measures that companies need to take to comply with GDPR

Lav prøver

For at sikre, at personalet følger det, der er angivet i clean-desk-rutinen, er det godt at foretage stikprøvekontrol regelmæssigt.

What is the definition of anonymised data?

Klassificere et brud på rutinen som en intern hændelse

Det kan være godt for virksomheder at indberette interne brud på rutinen, selv om der ikke nødvendigvis er tale om brud på persondatasikkerheden. Målet bør være at sætte virksomheden i stand til at forbedre sit arbejde i denne henseende.

Mere om GDPR

Regelmæssig revision

En anden god organisatorisk sikkerhedsforanstaltning, som virksomhederne bør tage, er at foretage regelmæssige revisioner af forskellige områder. Det sker ofte internt, men i nogle tilfælde kan det være hensigtsmæssigt at ansætte en ekstern part. For eksempel i tilfælde af højrisikobehandlinger og et objektivt perspektiv er vigtigt. Ved at gennemføre regelmæssige interne revisioner af GDPR-overholdelse bliver det lettere at finde mangler og forbedringsmuligheder, før det fører til alvorlige konsekvenser. 

Vil du lære mere?

Læs mere
Scroll to Top