Det korte svar: Når en medarbejder forlader virksomheden, skal I sikre, at personoplysninger ikke bliver efterladt, taget med eller glemt. Det kræver overblik over dataejerskab, adgangsrettigheder og dokumenterede procedurer. GDPR forpligter jer til at beskytte persondata – også ved fratrædelse.
Medarbejderudskiftning er blevet det nye normale
I de senere år er det blevet almindeligt, at medarbejdere skifter job hyppigere end før. Det stiller nye krav til virksomheder – ikke kun i forhold til rekruttering og onboarding, men også til datasikkerhed. For hvad sker der egentlig med følsomme personoplysninger, når en medarbejder fratræder? I denne blog ser vi på, hvordan medarbejderudskiftning kan påvirke jeres data – og hvad I skal være opmærksomme på for at overholde GDPR og styrke compliance.
Vidste du, at hvis man er forberedt på et databrud, kan det markant minimere mistillid og kundetab?
www.microsoft.com
Fratrædelse og dataforvaltning
Det er velkendt, at medarbejderudskiftning medfører direkte omkostninger: rekruttering, onboarding, produktivitetstab. Men de indirekte omkostninger ved datatab, uautoriseret adgang og brud på GDPR er ofte langt mere alvorlige. Fratrædende medarbejdere kan – bevidst eller ubevidst – tage følsomme data med sig. Det kan være via private e-mailkonti, lokale drev, personlige cloud-tjenester eller bare ved at have haft adgang til information, der ikke er blevet korrekt tilbagekaldt.
Når data ikke længere er under jeres kontrol, har I ikke længere noget databehandlingsgrundlag – men I har stadig ansvaret. Ifølge GDPR er det den dataansvarlige, der hæfter for utilsigtet deling, tab eller misbrug.
Her opstår risici ved medarbejderudskiftning
Når en medarbejder forlader virksomheden, kan der opstå alvorlige sikkerhedsrisici, hvis ikke data håndteres systematisk og rettidigt. Mange virksomheder prioriterer ikke awareness og undervurderer, hvor stor en mængde følsomme og forretningskritiske oplysninger, der kan være spredt ud på tværs af enheder, systemer og private lagringsløsninger. Særligt tre risici går igen:
-
Mørke data og datasiloer: Data gemt udenfor dokumenterede systemer – fx på skrivebordet, USB, Google Drive – uden kontrol eller dataklassificering.
-
Manglende sletning eller overdragelse: Følsomme oplysninger kan ligge gemt i tidligere medarbejderes mails, lokale mapper eller private notesystemer.
-
Manglende rettighedsoprydning: Eks-medarbejdere, der stadig har adgang til kundesystemer, CRM, dokumentmapper m.m.
Hvad siger GDPR om ansvar ifbm. medarbejderdata?
GDPR stiller klare krav til håndtering af personoplysninger – også i forbindelse med medarbejderudskiftning. Ifølge artikel 24 og 32 skal den dataansvarlige sikre passende tekniske og organisatoriske foranstaltninger. Det betyder blandt andet, at adgang til personoplysninger skal fjernes, så snart formålet med behandlingen ophører – eksempelvis når en medarbejder fratræder.
Samtidig forpligter artikel 5, stk. 2 jer til at kunne dokumentere ansvarlig databehandling gennem hele livscyklussen. Det gælder ikke kun, mens data er i aktiv brug, men også ved overdragelse, oprydning og sletning. Med andre ord: I skal kunne bevise, at I håndterer medarbejderdata korrekt – også når en ansat forlader virksomheden.
Vil du have hjælp til at behandle persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Sådan håndterer I data ifbm. medarbejderudskiftning
1. Skab overblik før det er for sent
Start med at identificere, hvilke data medarbejderen har haft adgang til – og hvor disse data er placeret: e-mails, cloudmapper, interne drev, CRM, lokal dokumentlagring, samarbejdsværktøjer osv.
Brug evt. et data discovery-værktøj til at finde og klassificere personoplysninger og følsomme dokumenter, fx DataMapper. Det kan give jer et samlet overblik og sikre, at I ikke overser skjulte risici.
2. Lav en konkret offboarding-proces
Indarbejd en struktureret data-oprydning i jeres offboarding-rutiner. Dette bør inkludere:
-
Gennemgang af persondata, der opbevares af medarbejderen
-
Overdragelse eller sletning af relevante filer
-
Dokumentation for sletning eller flytning
-
Fjernelse af adgangsrettigheder i alle systemer
-
Gennemgang af privat cloudbrug, hvor relevant
3. Inddrag de rette personer
DPO, IT, HR og teamledere skal samarbejde for at sikre, at alle kritiske data bliver identificeret og håndteret. En central del af databeskyttelse er tværfaglig koordinering – især når det handler om datatilgængelighed og compliance.
4. Fokusér på højrisikofiler
Nogle data fortjener særlig opmærksomhed: løndata, kundedata, klagesager, kontrakter, følsomme e-mails. De skal enten flyttes til sikre systemer, slettes eller overdrages til relevante personer.
En konkret tjekliste
Når en medarbejder forlader virksomheden, skal I ikke kun tænke på overdragelse af arbejdsopgaver – men også på de data, vedkommende har haft adgang til. For at sikre compliance og undgå datatab bør I følge en struktureret proces. Her er en konkret tjekliste, I kan bruge.
- Kortlægge dataejerskab og adgang
- Gennemgå og rydde op i medarbejderens data
- Sikre sletning eller overdragelse
- Dokumentere processen
- Bruge automatiseret scanning til at finde oversete eller glemte data
FAQ om GDPR og medarbejderudskiftning
1. Hvilket ansvar har vi som dataansvarlige?
I skal kunne dokumentere, at data kun behandles så længe det er nødvendigt – og at adgangen ophører ved fratrædelse (artikel 5, stk. 2 og artikel 32).
2. Må tidligere medarbejdere beholde adgang til kundedata?
Nej. Adgangsrettigheder skal fjernes straks, da der ellers kan ske uautoriseret behandling af personoplysninger.
3. Hvad er “mørke data”?
Det er data, som er gemt uden for dokumenterede systemer – f.eks. i private notesystemer, på skrivebordet eller i Google Drive – uden kontrol eller klassificering.
4. Skal vi dokumentere oprydningen?
Ja. I skal kunne dokumentere, at I har gennemført en systematisk oprydning og sikret, at data enten slettes eller overdrages korrekt.
Medarbejderudskiftning er svær at styre – men GDPR-risikoen er ikke
I kan ikke forhindre, at medarbejdere stopper – men I kan begrænse risikoen for databrud og fejlbehandling af persondata, når det sker. Med en kortlægning af jeres datasystemer kan I hurtigt få overblik over, hvilke filer den fratrådte medarbejder har haft adgang til, hvor der ligger persondata, og hvordan de skal håndteres. Hos Safe Online tilbyder vi en GDPR-risikovurdering, som giver jer et overblik over persondata – både for nuværende og forhenværende medarbejdere.
Læs mere
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Sebastian er medstifter og COO i Safe Online, hvor han fokuserer på at automatisere processer og udvikle innovative løsninger inden for databeskyttelse og compliance. Med en baggrund fra Copenhagen Business Academy og erfaring inden for identitets- og adgangsstyring har han en skarp forståelse for GDPR og datasikkerhed. Som forfatter på Safe Online's Videnshub deler Sebastian sin ekspertise gennem praktiske råd og dybdegående analyser, der hjælper virksomheder med at navigere i det komplekse GDPR-landskab. Hans indlæg kombinerer teknisk indsigt med forretningsforståelse og giver konkrete løsninger til effektiv compliance.
