Kapitel 6 Krav til a-kassernes it-systemer og sikkerhed
Den enkelte a-kasse kan bruge oplysninger fra registre, jf. § 3, stk. 2, for sine nuværende medlemmer og tidligere medlemmer for perioder, som vedrører en aktuel medlemsperiode og medlemsperioder, der ligger forud herfor.
Stk. 2 A-kasserne kan bruge oplysningerne til registersamkøring i kontroløjemed.
Stk. 3 Den enkelte bruger i a-kassen skal have særlig adkomst.
Stk. 4 A-kasserne skal foretage logning af alle opslag i indkomstregisteret, CVR og CPR.
Stk. 5 Oplysningerne er undergivet tavshedspligt i a-kasserne. Straffelovens §§ 152 og 152 c-152 f finder anvendelse.
A-kasserne skal sikre, at deres it-systemer udvikles og vedligeholdes efter de af Styrelsen for Arbejdsmarked og Rekruttering nærmere fastsatte retningslinjer. A-kasserne skal endvidere indberette udmeldte konkret fastsatte oplysninger til styrelsen til brug for administration, tilsyn samt til statistiske formål.
A-kasserne skal have beskrivelser af deres it-systemer. Beskrivelserne skal altid være ført ajour. A-kasserne skal også have ajourførte beskrivelser for brugen af it-systemerne.
Stk. 2 Beskrivelserne skal som minimum indeholde
-
1) oplysninger om, hvilke funktioner it-systemerne varetager,
-
2) oplysninger om, hvilke data der foreligger ved de enkelte funktioner,
-
3) beskrivelse af de automatiske kontroller, som it-systemerne varetager, og
-
4) oplysning om, hvilke lister it-systemerne kan udskrive, og hvordan disse anvendes i a-kassens administration og interne kontrolarbejde.
Stk. 3 Kravene til beskrivelsen gælder også for a-kasser, der bruger en databehandler.
Stk. 4 Hvis flere a-kasser bruger et fælles it-system, skal a-kasserne oplyse, om den enkelte a-kasse bruger hele systemet eller kun dele heraf.
Stk. 5 Hvis en a-kasse kun bruger dele af et it-system, skal den oplyse, hvilke dele den bruger.
A-kasserne skal have en skriftlig it-sikkerhedspolitik, der sikrer de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med god databehandling.
Stk. 2 It-sikkerhedspolitikken skal indeholde forholdsregler med henblik på at forhindre uvedkommendes adgang til personoplysninger. Det skal fremgå,
-
1) at kun personale, der er beskæftiget med behandling af personoplysninger, eller for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver, kan autoriseres og som sådan have adgang til personoplysninger i det nødvendige omfang, og
-
2) at den enkelte medarbejder skal have tildelt brugerrettigheder og anvende et fortroligt password.
Stk. 3 Hvis a-kasserne bruger en databehandler, skal a-kasserne ved en skriftlig aftale sikre sig, at databehandleren alene handler efter instruks fra a-kasserne, og at databehandleren herudover træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Stk. 4 Der skal fastsættes særlige retningslinjer i it-sikkerhedspolitikken, hvis a-kasserne har hjemmearbejdspladser med adgang til personfølsomme oplysninger.
Stk. 5 A-kasserne skal vurdere deres it-sikkerhedspolitik, hvis der sker lovmæssige, teknologiske eller organisatoriske forandringer af betydning for it-sikkerheden i a-kassen. A-kasserne skal revidere deres it-sikkerhedspolitik mindst 1 gang om året.
Stk. 6 Brugeren skal forud for adgang til indkomstregistret, CPR og CVR have underskrevet en erklæring om, at vedkommende er bekendt med reglerne for anvendelse af systemet og konsekvenserne af overtrædelser.