AutoPilot og persondataloven – adgangsregulering og anonymisering

Grundlæggende handler den nye persondataforordning jo om at sikre den registreredes rettigheder angående personlige data – det drejer sig primært om personfølsomme oplysninger som f.eks. navn, alder og adresse mm., der kan føres direkte tilbage til den enkelte person.

Overblik er nøglen når vi skal orientere os efter persondataforordningen. Her præsenterer vi derfor nogle hovedområder I skal være opmærksomme på – også i forbindelse med AutoPilot.

Når AutoPilot ligger på jeres egen server, er I både dataansvarlige og databehandlere. Er databasen hostet eksternt, altså hos eksterne databehandlere, skal I have skriftlige aftaler med jeres underdatabehandlere om overholdelse af forordningen – og sikre jer, at de overholder disse aftaler. I er nemlig selv ansvarlige for skriftligt at kunne redegøre for de data I besidder, vel at mærke i forhold til persondataforordningen.

I AutoPilot er navn, adresse samt CPR- og bilregistreringsnummer persondata, der er omfattet af persondataforordningen. Desuden inkluderer det løndata i prislisterne, sygdomsstatistik og planlagt sygefravær – alt efter, hvordan disse data står beskrevet, det er personfølsomme oplysninger.

I AutoPilot kan persondata tilgås via Basisprogrammet, hvor I finder medarbejderkortet og de generelle prislister. Derudover fra Administrationsprogrammet, der giver adgang til opgørelser af lønkørsler, fakturaforslag, statusudskrift for ferie/afspadsering og forbrugsstatistik over sygefravær.

Det er alfa og omega at I internt får defineret, hvem der bør kunne tilgå persondata og personfølsomme oplysninger i AutoPilot. Vi ser ofte, at adgangen til data er ukontrolleret – og at for mange medarbejdere har unødvendig adgang til funktioner, der omfatter persondata. Vi råder jer derfor til at klarlægge nogle interne retningslinjer for, hvem der skal have adgang til hvilke data og funktioner i AutoPilot.

For at skærpe jeres IT-sikkerhed råder vi jer til, at de medarbejdere, I giver adgang til programmoduler med persondata, bruger winlogin – og at disse medarbejdere ikke deler deres login-oplysninger med andre.

Nogle dataområder i AutoPilot er svære at slette – særligt uden at ødelægge oversigter. I kan for eksempel ikke slette medarbejdere i AutoPilot, men I kan derimod anonymisere dem. Når I anonymiserer medarbejderen, ved at omdøbe fornavn og efternavn og slette privatadresse, CPRnr. og bilens registreringsnummer, så er medarbejderen i princippet også slettet. Således får I samtidig mulighed for at bibeholde denne tidligere medarbejders løndata, sygdomsstatistik og timeregistreringer – alt sammen data, der indgår i jeres sagers rapporter og samlede økonomi.

Vedrørende anonymisering er der nogle retsnormer I skal være opmærksomme på. Bogføringsloven kræver at I opbevarer al regnskabsmateriale i 5 år fra udgangen af regnskabsåret – og at offentlige myndigheder kan få adgang til det pågældende regnskabsmateriale. Derfor er en anonymisering af tidligere medarbejdere først muligt når der, fra den dag medarbejderen er fratrådt, er gået 5 år.

Vi kan ikke kortlægge jeres persondata, men vi kan give jer nogle retningslinjer og gode råd til, hvad I skal være særligt opmærksomme på, og hvordan I kan overkomme eventuelle problematikker i forhold til de persondata I har i AutoPilot.

• Det er vigtigt, at I tager stilling til, hvilke dele af jeres data, der er nødvendige at registrere.

• Det er vigtigt at klarlægge hvem, der skal have adgang til hvilke data. På den måde sikrer I jer, at det kun er de nødvendige data, der behandles, og kun så længe det er relevant.