Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?

Når noen slutter, må virksomheten både beskytte personopplysninger og sikre kontinuitet. Det krever mer enn bare å deaktivere én bruker sent på siste dag.

Denne guiden er skrevet som praktisk oversikt for bedrifter. Den erstatter ikke konkret juridisk vurdering av din faktiske situasjon, dokumentasjon eller frister.

Kort svar

Når noen slutter, må virksomheten både beskytte personopplysninger og sikre kontinuitet. Det krever mer enn bare å deaktivere én bruker sent på siste dag.

Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke systemer og data personen faktisk har tilgang til, hvordan tilganger stenges og eierskap til informasjon flyttes og hvordan prosessen dokumenteres og koordineres.

Når dette blir aktuelt

når ansatte eller konsulenter med bred tilgang slutter
når HR, IT og leder håndterer fratreden i ulike spor
når virksomheten vil redusere risiko uten å miste viktig kunnskap

Det bedriften bør avklare først

Spørsmål	Hvorfor det betyr noe
Hvilke systemer og data personen faktisk har tilgang til	avgjør hvor sårbar virksomheten er
Hvordan tilganger stenges og eierskap til informasjon flyttes	er viktig for både sikkerhet og drift
Hvordan prosessen dokumenteres og koordineres	reduserer risikoen for hull mellom HR, IT og ledelse

Slik bør dere gå fram

Lag en samlet oversikt over systemer, mapper, enheter og eksterne kontoer personen bruker.
Bestem når tilganger skal endres og hvem som eier hvert steg i prosessen.
Flytt nødvendig informasjon og ansvar før alt stenges ned.
Dokumenter hva som er gjort og kontroller at ikke sekundære tilganger står åpne.

Dokumenter og spor som bør være på plass

I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.

offboarding-sjekkliste med system- og tilgangsoversikt
liste over utstyr, kontoer og datakilder personen håndterer
bekreftelse på stenging, overføring og retur av utstyr
koordinert plan mellom HR, leder og IT

Typiske feil

tilganger stenges stykkevis og uten samlet oversikt
eierskap til data og kundedialog flyttes for sent
gamle eksterne kontoer eller integrasjoner blir glemt

Når bør dere få konkret hjelp?

Når personen har hatt sentrale kundedata eller systemtilgang, bør offboarding og personvernsikring kvalitetssikres før fratreden.

Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?

Kort svar

Når dette blir aktuelt

Det bedriften bør avklare først

Slik bør dere gå fram

Dokumenter og spor som bør være på plass

Typiske feil

Når bør dere få konkret hjelp?

Relaterte guider

Offentlige kilder og videre lesning

Flere guider i Personvern

Behandlingsgrunnlag: hvordan velge riktig grunnlag

Personvernerklæring: hvem trenger det og hva bør stå der?

Databehandleravtale: hva må være med?

Protokoll over behandlingsaktiviteter: slik kommer du i gang

Selskapsrett

Skatterett

Arbeidsrett