Denne politik forklarer, hvordan brugersamtykke og autorisation skal indhentes, dokumenteres og håndhæves for at sikre lovlig og ansvarlig adgang i organisatoriske miljøer.
Formålet med denne politik er at definere principperne for brugersamtykke og autorisation ved adgang til systemer, data og digitale ressourcer. Den gælder for medarbejdere, administratorer, konsulenter og alle andre autoriserede brugere.
Samtykke og autorisation er to adskilte begreber. Begge skal være til stede, hvor det kræves ved lov eller interne governance-regler.
Samtykke betyder informeret, frivilligt og udtrykkeligt samtykke fra en bruger eller registreret til at tillade adgang eller behandlingsaktiviteter.
Autorisation betyder tekniske og administrative kontroller, der fastlægger, hvilke handlinger en autentificeret bruger må udføre.
Samtykke giver ikke automatisk ubegrænset adgang. Autorisationer skal altid begrænses til definerede roller og legitime formål.
Administrative rettigheder, overvågningsfunktioner og adgang til følsomme systemer kræver yderligere begrundelse, dokumentation og øget kontrol.
Organisationer er ansvarlige for at indhente brugersamtykke, før adgang, overvågning eller databehandlingsaktiviteter aktiveres, hvor dette kræves ved lov.
Samtykke skal være klart, dokumenteret og kommunikeret på en måde, som brugere med rimelighed kan forstå. Implicitte eller skjulte samtykkemekanismer må ikke anvendes, hvor udtrykkeligt samtykke er påkrævet.
Adgang skal gives baseret på definerede roller, ansvarsområder og driftsmæssige behov. Princippet om mindst mulige rettigheder skal altid anvendes.
Autorisationer skal gennemgås regelmæssigt og opdateres straks, når roller ændres, eller adgang ikke længere er nødvendig.
Beslutninger om samtykke og autorisation skal dokumenteres på en måde, der understøtter interne gennemgange, revisioner og regulatoriske forespørgsler.
Registreringer skal vise, hvornår samtykke blev indhentet, hvilken adgang der blev autoriseret, og hvem der godkendte adgangen.
Ansvaret for indhentning af samtykke, fastlæggelse af autorisationsregler og håndhævelse af adgangskontrol påhviler udelukkende organisationen. Overtrædelser af denne politik kan medføre suspension af adgang eller interne disciplinære foranstaltninger.