Personoplysninger og hjemmearbejde i lyset af COVID-19

Sikkerhed og håndtering af personoplysninger på hjemmearbejdspladser

På grund af den øgede anvendelse af hjemmearbejdspladser udsendte Center for Cybersikkerhed i søndags en særlig trusselsvurdering, der fastslog, at den nuværende cybertrussel er "MEGET HØJ", som følge af den forøgede brug af mere sårbare hjemmearbejdspladser samt muligheden for, at cyberkriminelle kan udnytte den aktuelle, samfundsmæssigt sårbare COVID-19 pandemi. 

Center for Cybersikkerhed anbefaler derfor, at medarbejdere såvel som virksomheder og myndigheder i den nuværende situation bør være særligt opmærksomme på en række IT-sikkerhedsmæssige forhold. Disse anbefalinger er i vidt omfang også fornuftige med henblik på at sikre, at databeskyttelseslovgivningen overholdes. Læs mere om Center for Cybersikkerheds trusselsvurdering og de generelle anbefalinger omkring cybersikkerhed i vores nyhedsbrev om teknologi og outsourcing.

Herudover er der dog en række øvrige forhold, som virksomheder og myndigheder også særligt bør være opmærksomme på for at sikre, at databeskyttelseslovgivningen overholdes under COVID-19-udbruddet og de nuværende omstændigheder. Til trods for den ekstraordinære situation gælder der på nuværende tidspunkt de samme krav til behandling af personoplysninger på hjemmearbejdspladser, som hvis medarbejderen var fysisk til stede på arbejdspladsen.

Datatilsynet har derfor mandag udgivet en række gode råd, der sætter fokus på de databeskyttelsesretlige problemstillinger, der kan opstå i forbindelse med COVID-19-udbruddet og den forøgede anvendelse af hjemmearbejdspladser. Generelt anbefaler Datatilsynet blandt andet følgende:

• Myndigheder og virksomheder bør fastlægge og udmelde klare retningslinjer for hjemmearbejdet, og det bør samtidigt sikres, at ansatte følger disse, så længe hjemmearbejde er nødvendigt.
• Der bør udelukkende anvendes den anviste (sikre) adgang til systemer, såsom VPN, direkte opkobling eller andre sikre services.
• Medarbejderne bør så vidt muligt anvende de normale centrale systemer, som sikrer både adgangskontrol, dokumentversionering, backup og den generelle IT-sikkerhed. 
• Hvis dokumenter ‒ undtagelsesvist ‒ gemmes lokalt (eks. direkte på medarbejderens arbejdscomputer eller tablet) fremfor på det centrale system, bør det sikres, (i) at enheden og/eller filen er krypteret, (ii) at ingen andre end medarbejderen selv har adgang til enheden, (iii) at versioneringen af filer opretholdes, så data ikke mistes eller bliver ukorrekt, og (iv) at lokalt gemte filer uploades til det centrale system, så snart det er muligt, hvorefter den lokale kopi slettes straks.
• Medarbejdere, som er i besiddelse af fysiske dokumenter med oplysninger om fysiske personer på hjemmearbejdspladsen, skal sørge for både at opbevare og bortskaffe disse på betryggende vis.

Kromann Reumert anbefaler, at arbejdsgiverne og DPO'er eller andre medarbejdere med særligt ansvar for beskyttelsen af personoplysninger gør en ekstra indsats for at udbrede budskabet om sikker digital adfærd på hjemmearbejdspladsen, eksempelvis ved en mini-opmærksomheds-kampagne. Datatilsynets og Center for Cybersikkerheds råd og anbefalinger er gode og håndgribelige, og de kan eventuelt bruges som udgangspunkt for en sådan kampagne. DPO'er eller andre medarbejdere med særligt ansvar for beskyttelsen af personoplysninger bør have særlig opmærksomhed på, om databeskyttelse også indtænkes tilstrækkeligt i de midlertidige tiltag og krisestyringen fra organisationens side.

Vær opmærksomhed ved indkøb og implementering af nye løsninger til hjemmearbejde og kommunikation

Mange virksomheder og IT-afdelinger foretager i disse dage "hurtige" indkøb og implementeringer af nye værktøjer og systemer til at understøtte hjemmearbejde og andet distancearbejde ‒ såsom videokonferencer og samarbejdsplatforme. Udbyderne af løsninger til digital understøttelse af samarbejde er meget aktive. Visse udbydere tilbyder gratis licenser eller udvidelse af eksisterende løsninger, mens COVID-19-krisen står på. 

Også på dette område og i den nuværende situation gælder de databeskyttelsesretlige krav fuldt ud. Organisationer bør understøtte hjemmearbejde ved at sørge for sikre og tilgængelige værktøjer, og de bør aktivt hindre eller undgå, at medarbejderne selv tager "lokale" løsninger i brug (eks. private Dropbox-konti eller mailkonti), der ikke er underlagt organisationernes kontrol. 

Når der indkøbes og implementeres nye værktøjer til hjemmearbejde, er det vigtigt at huske de databeskyttelsesretlige krav. Hvis sådanne systemer og værktøjer skal anvendes til behandling af personoplysninger ‒ hvilket næsten er uundgåeligt ‒ skal organisationen inddrage dette i sin risikovurdering og sikre passende sikkerhed. Hvis løsningen medfører, at data behandles af andre, vil dette som oftest også kræve en databehandleraftale, og dermed også en stillingtagen til, hvilke sikkerhedskrav der skal stilles til databehandleren ‒ og også hvor behandlingen geografisk finder sted. I visse tilfælde ‒ f.eks. hvis systemet eller behandlingen gør brug af nye teknologier eller anvender teknologier på en ny måde ‒ kan der desuden være behov for at udarbejde en konsekvensanalyse (DPIA). 

Alle disse tiltag skal være på plads ‒ og dokumenteret ‒ inden de nye løsninger tages i brug til behandling af personoplysninger.

Kromann Reumert anbefaler, at organisationen ‒ uanset tidspresset og den usædvanlige situation ‒ også prioriterer overholdelse af de databeskyttelsesretslige krav i forbindelse med "lynimplementering" af nye løsninger. For at kunne agere hurtigt, kan organisationen eventuelt starte med en foreløbig risikovurdering, som hurtigst muligt ‒ eventuelt parallelt med implementeringen ‒ genbesøges og opdateres. Risikovurderinger for løsninger til hjemmearbejde bør inddrage de særlig risici vedrørende hjemmearbejde ‒ herunder at systemerne anvendes i et andet miljø, hvor der kan være flere faktorer uden for organisationens kontrol. Center for Cybersikkerheds Trusselsvurderinger kan eventuelt bruges som input til risikovurderingen. DPO'en eller anden medarbejder med særligt ansvar for beskyttelsen af personoplysninger bør spille en aktiv rolle for at sikre, at risikovurderinger og dokumentation kommer på plads. Det er også hensigtsmæssigt, hvis DPO'en eller anden medarbejder med særligt ansvar for beskyttelsen af personoplysninger i den nuværende situation er opsøgende for at sikre, at de databeskyttelsesretslige krav ikke glemmes ved hurtige indkøb.

Nuværende databehandleraftaler kan forhindre eller stille særlige krav til hjemmearbejdspladsen

Ud over Datatilsynets anbefalinger bør virksomheder og myndigheder, der agerer som databehandler på vegne af en dataansvarlig, have særlig opmærksomhed på sikkerhedskravene i de databehandleraftaler, som organisationen har indgået med dataansvarlige. Det gælder eksempelvis for hostingvirksomheder og servicevirksomheder ‒ men også andre typer af virksomheder, der har en rolle som databehandler. 

Nogle databehandleraftaler stiller krav til medarbejderes behandling af personoplysninger, når dette sker på en hjemmearbejdsplads. Datatilsynets standarddatabehandleraftale stiller ikke sådanne specifikke krav til databehandling på hjemmearbejdspladser, men overlader det til aftaleparternes nærmere beskrivelse. Der findes dog en del eksempler på databehandleraftaler, som enten helt forbyder behandling af personoplysninger på hjemmearbejdspladser, eller som stiller strengere krav hertil. Det kan være krav om, at den dataansvarlige forudgående skal godkende, at databehandlingen foregår på en hjemmearbejdsplads, eller at der er opstillet skærpede sikkerhedskrav for medarbejdernes behandling af personoplysninger, som specifikt angår hjemmearbejdspladser. I visse tilfælde påtager databehandleren sig at overholde den dataansvarliges IT-sikkerhedspolitik, og den kan ligeledes indeholde retningslinjer om brugen af hjemmearbejdspladser.

Kromann Reumert anbefaler, at virksomheder, der fungerer som databehandlere, kontrollerer, om de indgåede databehandleraftaler indeholder særlige krav til brugen af hjemmearbejdspladser. Hvis databehandleraftalerne indeholder krav, som virksomheden ikke kan opfylde i den nuværende situation, bør virksomheden hurtigst muligt gå i dialog med den dataansvarlige, således at der opnås enighed mellem parterne om eventuelle midlertidige afvigelser eller specifikke ændringer til databehandleraftalen. 

Organisationer, der anvender databehandlere, bør ligeledes overveje, om der ‒ ud fra en risikovurdering ‒ er behov for at kontrollere om deres databehandlere også i den nuværende situation opfylder gældende sikkerhedskrav, og om der kan være behov for justeringer eller konkrete afvigelser i lyset af behovet for hjemmearbejde under udbruddet af COVID-19.

Vores rådgivning

Vores team af specialister står klar til at yde rådgivning om de databeskyttelsesretlige problemstillinger, der måtte opstå ved brugen af hjemmearbejdspladser under udbruddet af COVID-19, herunder ved udarbejdelsen af specifikke retningslinjer, samt at besvare de mange konkrete databeskyttelsesretlige spørgsmål, der løbende måtte opstå.

Læs mere

• Datatilsynets råd om behandling af personoplysninger på hjemmearbejdspladser.
• Læs vores omtale af Center for Cybersikkerheds trusselsvurdering og de IT-sikkerhedsmæssige udfordringer som COVID-19 medfører.