22. september 2023
Datatilsynet har udgivet en ny vejledende tekst omhandlende medarbejderes snageri. Den er specielt tiltænkt offentlige myndigheder, hvor man tidligere har hørt om medarbejdere, som f.eks. har snaget i folks journaler. Den er dog også relevant for private virksomheder. For det er ikke kun det offentlige, der skal sørge for, at medarbejderne ikke snager. Det kan være svært at forhindre snageri, da det i sidste ende er en medarbejder, som misbruger sin adgang – men det kan begrænses med forskellige tiltag.
Ved at udarbejde en risikovurdering kan du finde ud af, hvilke tiltag der er relevante.
Nedenfor er beskrevet et par relevante foranstaltninger.
Adgangsstyring
Adgange til systemer skal altid være betinget af et arbejdsmæssigt behov. Man skal altså sørge for, at det ikke er alle medarbejdere, som har adgang til HR-systemet. Samtidig skal man sikre sig, at hvis en medarbejder flytter afdeling fra HR til Salg, skal medarbejderen ikke længere have adgang til HR-systemet, da der ikke vil være et arbejdsmæssigt behov.
Logning
Det kan også være relevant at logge medarbejdernes færden i et IT-system. Det betyder ikke, at man altid skal logge medarbejderne i alt, de laver. Som forsikringsselskab vil det være en god ide at logge medarbejdernes brug af et eventuelt sagsbehandlingssystem, men det er i forhold til dette ikke nødvendigt for et forsikringsselskab at logge medarbejdernes brug af deres browser.
Awareness
Man kan gennem uddannelse (awareness) sikre, at medarbejderne ved, hvordan de skal håndtere personoplysninger. Her gælder blandt andet også, at medarbejderne får en ide om, hvilke personoplysninger de har arbejdsmæssigt behov for at behandle, samt hvilke konsekvenser det kan have, hvis de behandler oplysninger, de ikke har et arbejdsmæssigt behov for.
Det skal derudover siges, at awareness faktisk er et krav efter GDPR. Det kan du læse mere om her: Uddannelse af dine medarbejdere gennem awareness-kurser – Roesgaard Advokater
Hvad hvis det alligevel går galt?
Du har som virksomhed ansvar for, at dine medarbejdere ikke snager, men medarbejderne har også selv et ansvar. Hvis du som virksomhed har sat forskellige foranstaltninger op for at forhindre dette, så vil medarbejderne i stedet kunne blive straffet med en bøde for snageriet.
Ønsker du at vide mere, kan du læse den vejledende tekst her: Kan snageri forebygges? (datatilsynet.dk).
Har du spørgsmål, er du altid velkommen til at kontakte os.
Skrevet af:
