Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Datatilsynets standardvilkår for whistleblowerordninger

Sikkerhedsregler for behandling af følsomme personoplysninger i forbindelse med en whistleblowerordning

Datatilsynets tilladelser til whistleblowerordninger i den private sektor indeholder som standard følgende vilkår:

  • Behandlingen af følsomme personoplysninger skal ske under iagttagelse af de i bilag 1 beskrevne sikkerhedsregler.

Sikkerhedsreglerne (bilag 1) har følgende indhold:

Bilag 1: Sikkerhedsregler for behandling af følsomme personoplysninger i forbindelse med en whistleblowerordning

1. Generelle sikkerhedsbestemmelser
1.1. Den dataansvarlige skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i virksomheden til uddybning af de regler, der fremgår af dette bilag. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for virksomheden. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i virksomheden.

1.2. Den dataansvarlige skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af punkt 1.1.

1.3. På steder, hvor der foretages behandling af personoplysninger, skal der træffes forholdsregler med henblik på at forhindre uvedkommendes adgang til oplysningerne.

1.4. Der må kun etableres eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Transmission af følsomme personoplysninger over det åbne net skal altid ske krypteret.

1.5. I forbindelse med reparation og service af dataudstyr, der indeholder personoplysninger, samt ved salg og kassation af anvendte datamedier skal der træffes de fornødne foranstaltninger for at sikre, at persondatalovens § 41, stk. 3, overholdes.

2. Autorisation og adgangskontrol
2.1. Kun de personer, som autoriseres hertil, må have adgang til personoplysninger. Autorisationer til adgang til personoplysninger, der behandles ved hjælp af edb, skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.

2.2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles, samt personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.

2.3. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i punkt 2.1. og 2.2. Kontrol heraf skal foretages mindst en gang hvert halve år.

2.4. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang til personoplysninger, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.

2.5. Der skal foretages registrering af alle afviste forsøg på adgang til edb-systemer med personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg.