God databehandlingsskik
God databehandlingsskik er grundlaget for god sagsbehandling, og at data altid kan begrundes overfor borgere eller myndigheder i tilfælde af klager og ønske om aktindsigt.
God databehandlingsskik indebærer at man altid over for borgerne skal kunne begrunde, hvorfor man har indsamlet og registreret data.
At man altid kan opfylde borgere og virksomheders ret til oplysning, indsigt, indsigelse og klage i forbindelse med behandling af data.
At man altid sørger for at beskytte fortrolige data, så de ikke går tabt eller misbruges.
I ekspeditionslokaler skal man være opmærksom på, at borgere ikke kan komme til at se fortrolige oplysninger om andre.
Man skal have adgang til IT-systemer med fortrolige oplysninger, hvis man har brug det for at kunne løse sine arbejdsopgaver og det er ledelsens ansvar, at man har den rette adgang/brugerprofil.
Hvis en medarbejder vurderer, at IT-sikkerheden ikke er i orden, skal man fortælle det til sin leder, den daglig IT-sikkerhedsleder eller Økonomi og Stab-IT/IT-Helpdesk med det samme. Det kan f.eks. være at man opdager, at man har adgang til fortrolige oplysninger, som man ikke har brug for, uforklarlige ændringer i systemerne, tab af data etc.
Hvis man forsøger at få adgang til fortrolige oplysninger, som man ikke har brug for i sit daglige arbejde, vil det efter omstændighederne kunne medføre påtale eller afskedigelse.
Persondatalovens § 5
Datatilsynets praksis og Dansk Standard
Fortrolige og følsomme data
Alle medarbejdere bør vide, hvad "fortrolige data" og "følsomme data" er, samt hvordan de bør indsamles, behandles og videregives.
Fortrolige data er oplysninger om borgernes racemæssige eller etniske baggrund, politiske, religiøse eller filosofiske overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Men det kan efter omstændighederne også dreje sig om andre oplysninger. Det kommer an på den sammenhæng, som oplysningerne indgår i.
Følsomme data er private oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold. Rent private forhold kan omfatte forskellige ting, og det kan i høj grad være den sammenhæng, som oplysningerne indgår i, der har betydning for, om oplysningerne er af privat karakter.
Behandling af fortrolige og følsomme oplysninger
Det er vigtigt altid at få borgerens samtykke til behandling af disse oplysninger – hvis det er muligt. Borgeren skal gøres opmærksom på, hvordan oplysningerne vil blive behandlet, herunder om de videregives til andre myndigheder.
Alle vore blanketter og skemaer er forsynet med oplysninger om denne behandling.
Samtykke skal være skriftligt, således at der ikke opstår misforståelser.
I forbindelse med videregivelse af oplysninger til andre myndigheder er det den myndighed, der udleverer oplysningen, der er ansvarlig for, at det sker på et lovligt grundlag. I tvivlstilfælde hjælper daglig IT-sikkerhedsleder med at afklare spørgsmålet.
Uforsvarlig omgang med fortrolige data, herunder indsamling eller videregivelse i strid med persondataloven, vil efter omstændighederne kunne medføre påtale eller afskedigelse.
Persondatalovens §§ 7, 8 og 41 stk. 3
Datatilsynets praksis
Inddatamateriale
Medarbejdere, der arbejder med inddatamateriale med fortrolige oplysninger skal vide, hvordan de skal behandle dem, så oplysninger ikke går tabt eller uvedkommende får adgang til dem.
Inddatamateriale er oftest papirdokumenter, ofte blanketter med oplysninger, der skal indtastes i forbindelse med sagsbehandling. Det kan også være elektroniske data, som hentes i et andet system eller via et elektronisk medie som f.eks. en cd eller et USB-stik.
Det er kun medarbejdere, der er autoriseret til opgaven, der må arbejde med inddatamateriale. Dvs. medarbejdere, der har fået adgang til IT-programmet.
Dog kan destruktion af inddatamateriale foretages af andre medarbejdere, der varetager netop denne opgave.
Fysisk sikkerhed
Inddatamateriale skal altid opbevares således, at uvedkommende ikke har adgang til oplysningerne. Når inddatamaterialet er i brug i forbindelse med sagsbehandlingen, skal man sikre sig, at det ikke er tilgængeligt for uvedkommende, hvis man forlader sin plads i kortere periode. Ved fravær i længere tid f.eks. ved deltagelse i møder eller efter arbejdstid bør materialet låses inde.
Sletning
Inddatamateriale, der ikke længere anvendes, skal slettes. Dette kan enten ske ved destruktion, hvis der er tale om papirbaseret materiale, eller ved sletning når der er tale om elektronisk baseret materiale.
Inddatamateriale skal slettes, når der ikke længere er behov for at opbevare det. I særlige tilfælde kan det være nødvendigt at opbevare materialet i længere tid, men det skal dog senest slettes eller tilintetgøres efter fem år, medmindre der er særlige regler om noget andet.
Den enkelte sagsbehandler sørger for destruktion af papirmateriale ved makulering eller lignende, og Økonomi og Stab-IT sørger for, at datamedier f.eks. en harddisk bliver slettet på behørig vis.
Dokumenter, der bliver indscannet i Acadre, destrueres efter tre måneder. Sager, der ikke opbevares i Acadre f.eks. skøder og kontrakter, må aldrig destrueres, men skal opbevares efter de retningslinier, som gælder i forvaltningen.
I tilfælde, hvor fortrolighed omkring inddatamateriale ikke overholdes – f.eks. hvis der udleveres dokumenter/data til uvedkommende, vil det efter omstændighederne kunne medføre påtale eller afskedigelse.
Persondatalovens § 10
Datatilsynets praksis
Uddatamateriale
Medarbejdere, der arbejder med uddatamateriale med fortrolige oplysninger skal vide, hvordan de skal behandle dem, så oplysninger ikke går tabt eller uvedkommende får adgang til dem.
Uddatamateriale er resultatet af en elektronisk databehandling, enten papirbaseret eller elektronisk. Uddatamateriale, der indgår i en manuel sag, er ikke omfattet.
Det er kun autoriserede brugere, dvs. medarbejdere, der har fået adgang til IT-programmet, der må arbejde med uddatamateriale med fortrolige oplysninger. I visse situationer kan det dog være nødvendigt, at andre personer arbejder med uddatamateriale, f.eks. i forbindelse med revision, teknisk vedligeholdelse, driftsovervågning og fejlretning.
Uddatamateriale skal slettes eller tilintetgøres, når der ikke længere er behov for at opbevare materialet. Sletning sker efter de retningslinier, som gælder efter almindelige regler eller efter f.eks. anmeldelse af behandlinger til Datatilsynet.
Forvaltningerne udarbejder retningslinier for opbevaring af uddatamateriale.
I forbindelse med sletning af uddatamateriale, som medarbejderen henter fra sin Outlook indbakke, skal vedkommende sørge for at dokumentet er fuldstændig slettet.
Hvis opbevaring af uddatamateriale sker på uforsvarlig vis, vil det efter omstændighederne kunne medføre påtale eller afskedigelse.
Sikkerhedsbekendtgørelsens § 13
Datatilsynets praksis
Fortrolighed
Indbakken i Outlook er personlig og må ikke åbnes af andre end medarbejderen selv.
I forbindelse med fravær fra arbejdspladsen skal det dog sikres, at oplysninger fra borgere og virksomheder ikke går tabt, fordi posten ikke læses. Alle ansatte skal derfor have minimum en kollega, der kan åbne postkassen og videreekspedere mails, der skal behandles.
Det er ikke tilladt at læse privat post i kollegers og medarbejderes postkasser.