Uautoriserede opslag kan udløse sanktioner
Medarbejdere, der har adgang til registre og journalsystemer, må kun tilgå personoplysninger, når det er nødvendigt for arbejdsopgaven. Opslag af nysgerrighed eller private formål er ulovlige og kan udløse bøde og strafferetlige følger efter databeskyttelsesreglerne.
Grundlæggende principper som formålsbegrænsning og dataminimering gælder også internt. Eksempler er opslag i en kendt persons eller en privat relation uden saglig grund. Datatilsynet understreger, at sådanne brud kan føre til politianmeldelse. Læs mere hos Datatilsynet.
Arbejdsgiverens pligter og kontrol
Arbejdsgivere skal etablere passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder rollebaseret adgang, logning og stikprøvekontrol. De skal desuden informere medarbejdere om lovlig anvendelse af registre og sikre træning i korrekt håndtering af personoplysninger.
Hvis virksomheden har gennemført rimelige kontroller og medarbejderen alligevel foretager usaglige opslag, kan ansvaret placeres hos medarbejderen. Klare interne retningslinjer, dokumenteret instruktion og konsekvent opfølgning er centrale for at forebygge brud.
Følgende tiltag mindsker risikoen for misbrug og styrker compliance:
- Rollebaseret adgangsstyring og mindst mulig adgang.
- Systematisk logning, alarmering og regelmæssige audits.
- Obligatorisk awareness træning og test af forståelse.
- Klare retningslinjer for private relationer og håndtering af kendte personer.
