A-kasserne skal have en skriftlig it-sikkerhedspolitik, der sikrer de fornødne tekniske og organisatoriske foranstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med god databehandling.
Stk. 2 It-sikkerhedspolitikken skal indeholde forholdsregler med henblik på at forhindre uvedkommendes adgang til personoplysninger. Det skal fremgå,
-
1) at kun personale, der er beskæftiget med behandling af personoplysninger, eller for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver, kan autoriseres og som sådan have adgang til personoplysninger i det nødvendige omfang, og
-
2) at den enkelte medarbejder skal have tildelt brugerrettigheder og anvende et fortroligt password.
Stk. 3 Hvis a-kasserne bruger en databehandler, skal a-kasserne ved en skriftlig aftale sikre sig, at databehandleren alene handler efter instruks fra a-kasserne, og at databehandleren herudover træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Stk. 4 Der skal fastsættes særlige retningslinjer i it-sikkerhedspolitikken, hvis a-kasserne har hjemmearbejdspladser med adgang til personfølsomme oplysninger.
Stk. 5 A-kasserne skal vurdere deres it-sikkerhedspolitik, hvis der sker lovmæssige, teknologiske eller organisatoriske forandringer af betydning for it-sikkerheden i a-kassen. A-kasserne skal revidere deres it-sikkerhedspolitik mindst 1 gang om året.
Stk. 6 Brugeren skal forud for adgang til indkomstregistret, CPR og CVR have underskrevet en erklæring om, at vedkommende er bekendt med reglerne for anvendelse af systemet og konsekvenserne af overtrædelser.