Sikkerhedskravene gælder umiddelbart alene for virksomheder mv., som fra januar 2015 foretager anmeldelse til Datatilsynet. Kravene må dog ses som en præcisering af, hvad der allerede gælder efter den almindelige sikkerhedsregel i persondataloven, så det er som ansvarlig HR-chef eller jurist med ansvar for HR-området vigtigt at orientere sig i forhold til de krav, som Datatilsynet anser for at udgøre mindstekrav.

Datatilsynet opstiller 12 mindstekrav, heriblandt:

• udarbejdelse af en beskrivelse for, hvordan virksomheden beskytter personoplysningerne på HR-området, og i praksis har implementeret de øvrige 11 krav. Dette kan f.eks. ske i et sæt særlige retningslinjer for, hvordan personoplysninger beskyttes i personaleadministrationen,
• autorisation af medarbejdere (rollestyring),
• instruktion i omgang med personoplysninger og
• registrering af forgæves login-forsøg til it-systemer med følsomme personoplysninger og mulighed for blokering.

For offentlige myndigheder gælder som hidtil sikkerhedsbekendtgørelsen, der fastsætter minimumskrav for datasikkerheden for det offentlige. De 12 nye mindstekrav går videre end sikkerhedsbekendtgørelsen, og da reglen i persondataloven om datasikkerhed er den samme for private og offentlige dataansvarlige, bør også offentlige dataansvarlige se på, om man overholder de nye mindstekrav.

Du kan finde alle mindstekravene her.