Loading Results

Baggrundstjek af medarbejdere og ved ansættelse: Sådan beskytter du din virksomhed
Header billede

Den geopolitiske uro, hybride trusler og stigende cyberkriminalitet har fundamentalt ændret den verden, virksomheder opererer i. Statslige aktører, organiserede kriminelle netværk og insidertrusler udgør i dag reelle risici for virksomheder – særligt for dem, der driver eller understøtter kritisk infrastruktur som energiforsyning, transport, finans og sundhedssektoren.

I dette landskab er det ikke længere tilstrækkeligt at sikre systemer og processer. Mennesket er og bliver et centralt element i enhver sikkerhedsstrategi – og det starter allerede ved ansættelsen.  

Samtidig stiller reguleringer som NIS2, DORA og CER skærpede krav til kontrol med medarbejdere, der får adgang til kritiske systemer, følsomme oplysninger eller nøglefunktioner. 

Derfor er der et voksende behov for strukturerede “kend jeres medarbejdere”-processer og systematisk due diligence, så højrisikoprofiler identificeres, før de får mulighed for at udgøre en trussel mod virksomheden.

Hvad er et baggrundstjek og hvilke krav stilles der til virksomheder? 

Et baggrundstjek er en risikobaseret kontrol af en kandidat eller medarbejder for at vurdere, om personen kan varetage en betroet eller kritisk funktion. For virksomheder i regulerede eller kritiske sektorer handler kravene ikke kun om nyansættelser, men også om eksisterende medarbejdere i særligt følsomme roller. 

Faglige og personlige forhold

Et baggrundstjek bør altid tage udgangspunkt i den konkrete stillings ansvarsområde og risikoprofil. Typisk vil det omfatte kontrol af identitet, kvalifikationer og øvrige sikkerhedsrelevante forhold, herunder: 

  • identitetsverifikation
  • kontrol af straffeattest, hvor det er relevant og lovligt
  • verifikation af uddannelse og erhvervserfaring
  • kontrol af øvrige sikkerhedsrelevante forhold, hvor det er relevant og lovligt

Afhængigt af rollens karakter og virksomhedens risikobillede kan baggrundstjek desuden omfatte:

  • medie- og omdømmescreening
  • sanktions- og PEP-screening (Politically Exposed Persons)
  • indhentning af relevante oplysninger fra offentlige registre og åbne kilder
  • screening for interessekonflikter

Hvad omfatter et baggrundstjek i praksis?

Et baggrundstjek er ikke en standardløsning. Omfanget bør altid tilpasses den konkrete stillings ansvarsområde, adgangsniveau og risikoprofil. En økonomidirektør med adgang til følsomme finansielle data vil fx kræve en mere omfattende screening end en medarbejder i en funktion med begrænset adgang til kritiske systemer eller oplysninger. 

En effektiv tilgang er derfor at arbejde med skalerbare screeningsniveauer, så indsatsen matcher den reelle risiko. 

Baggrundstjek kan typisk opdeles i tre niveauer: 

  • Niveau 1:  Fundamental sikkerhed (lav risiko)
    Et grundlæggende baggrundstjek med fokus på hurtig og effektiv validering af identitet og straffeattest, hvor det er relevant og lovligt. Dette niveau giver et hurtigt indledende beslutningsgrundlag og identificerer åbenlyse uoverensstemmelser tidligt i processen. 
  • Niveau 2: Udvidet verifikation (mellem risiko)
    Her suppleres den grundlæggende screening med verifikation af CV, uddannelse og erhvervserfaring. Kontrol af oplysninger hos tidligere arbejdsgivere og uddannelsesinstitutioner giver et mere nuanceret og dækkende billede af kandidatens baggrund og kvalifikationer. 
  • Niveau 3 – Dybdegående due diligence (høj risiko) 
    For nøglepersoner og stillinger med høj risikoprofil kan der være behov for en mere omfattende due diligence. Ud over elementerne i niveau 1 og 2 kan dette niveau omfatte vurdering af retslige og økonomiske forhold, sanktions- og PEP-screening samt medie- og omdømmescreening. Formålet er at identificere potentielle risici, før personen får adgang til virksomhedskritiske funktioner, systemer eller oplysninger.   

En central udfordring for mange virksomheder er at fastlægge, hvilke roller der kræver hvilket niveau af screening, og hvordan processen tilrettelægges, så den både er proportional, operationelt anvendelig og understøtter relevante regulatoriske krav, herunder fx CER. 

Hvordan udføres et godt baggrundstjek i praksis?

Et professionelt baggrundstjek bør følge en struktureret og dokumenterbar proces, så screeningen er både relevant, proportional og lovlig. En god proces omfatter typisk følgende trin:

  1. Afgrænsning af omfang
    Først fastlægges det, hvilke oplysninger, der er relevante at verificere i forhold til den konkrete rolle, herunder stillingens ansvarsområde, adgangsniveau og risikoprofil.
  2.  Indhentning af samtykke
    Kandidaten eller medarbejderen skal informeres om processen og give det nødvendige samtykke, før screeningen igangsættes.
  3. Gennemførelse af screeningen
    De relevante kontroller gennemføres systematisk og på baggrund af foruddefinerede kriterier. Her kan digitalt værktøj som P-Secure understøtte en effektiv proces ved at automatisere bl.a. identitetsverifikation, CV-tjek, kontrol af straffeattest og referencehåndtering, samtidig med at dokumentation og auditspor samles ét sted. 
  4. Analyse og dokumentation:
    Eventuelle fund vurderes i forhold til rollens risikoprofil og dokumenteres, så virksomheden har et sagligt og auditerbart beslutningsgrundlag.
  5. Vurdering af eventuelle uoverensstemmelser
    Hvis screeningen afdækker uoverensstemmelser eller identificerer andre røde flag, bør kandidaten eller medarbejderen have mulighed for at kommentere på forholdene, før der træffes beslutning.
  6. Overholdelse af databeskyttelsesregler
    Hele processen skal gennemføres i overensstemmelse med GDPR og anden relevant lovgivning, herunder principper om proportionalitet, transparens og korrekt behandling af personoplysninger. P-Secure oplyser desuden, at platformen understøtter digitalt samtykke, logning og dokumentation, hvilket kan styrke virksomhedens compliance-setup. 

Sådan gør PwC: En kombination af teknologi, ekspertise og global rækkevidde

Hos PwC kombinerer vi teknologi, specialistviden og et globalt netværk for at sikre en effektiv og dokumenterbar screeningsproces. 

De grundlæggende kontroller gennemføres ved hjælp af den automatiserede platform P-Secure, som understøtter bl.a. identitetsverifikation, CV-tjek og andre centrale screeningsprocesser. Det sikrer en hurtig, ensartet og skalerbar proces.  

Hvis screeningen afdækker forhold, der kræver nærmere vurdering, eller der er behov for en mere dybdegående analyse, inddrages vores specialister til supplerende analyser i åbne kilder, offentlige registre og relevante databaser. I internationale eller komplekse sager kan vi samtidig trække på PwC’s globale netværk for at sikre lokal indsigt og en mere dækkende vurdering på tværs af jurisdiktioner. 

Kombinationen af automatisering, faglig ekspertise og global rækkevidde giver et fleksibelt og juridisk holdbart beslutningsgrundlag — både ved standardiserede screeninger og i mere komplekse sager. 

Sådan kan vi hjælpe med baggrundstjek

Baggrundstjek er i stigende grad blevet en central del af virksomheders risikostyring. PwC hjælper jer med at omsætte regulatoriske krav til en effektiv, proportional og dokumenterbar screeningsproces. 

Vi kan bistå både nationalt og internationalt og understøtte en ensartet tilgang på tværs af roller, enheder og geografier. 

Kontakt os, hvis I vil høre mere om, hvordan vi kan understøtte jeres arbejde med baggrundstjek og medarbejderscreening. 

Ofte stillede spørgsmål om baggrundstjek

Baggrundstjek skal altid gennemføres i overensstemmelse med GDPR og øvrige databeskyttelsesregler. Det indebærer, at processen skal være saglig, transparent og proportional, og at virksomheden kun må indhente oplysninger, der er relevante for den konkrete rolle. Derudover skal kandidaten eller medarbejderen give et informeret samtykke, inden screeningen gennemføres. 

Baggrundstjek er særligt relevant i stillinger med øget risikoprofil eller adgang til kritiske funktioner, herunder: 

  • ledelses- og nøglefunktioner
  • stillinger med adgang til finansielle systemer 
  • roller med adgang til persondata eller fortrolige oplysninger 
  • IT- og cybersikkerhedsfunktioner 
  • funktioner med betydning for kritisk infrastruktur 

For virksomheder, der driver samfundskritiske funktioner, indgår i kritisk infrastruktur eller leverer til sådanne enheder, kan der desuden gælde skærpede krav til personalesikkerhed og dokumenterbare, risikobaserede kontroller. Det gælder særligt i lyset af CER, men også i samspil med NIS2 og DORA afhængigt af sektor og rolle.  

Behovet kan også være særligt udtalt i internationale organisationer, hvor roller, ansættelsesforhold og risikobillede går på tværs af markeder og jurisdiktioner. 

Hvis screeningen afdækker forhold, der kan have betydning for den konkrete rolle, bør virksomheden foretage en konkret og saglig vurdering, dokumentere beslutningen og sikre, at processen håndteres lovligt og proportionalt. 

Kontakt os

Trine Vestengen Hopkins

Partner, Leder af Risk Assurance, København, PwC Denmark

5215 0003

E-mail

Anastassia Stukan

Partner, København, PwC Denmark

2168 9587

E-mail

Følg PwC

Felter, markeret med stjerne, skal udfyldes.(*)

Ved at indsende denne formular giver du samtykke til, at PwC må behandle de personoplysninger, du har indtastet for at kunne håndtere din henvendelse. Læs mere om dine rettigheder, samt hvordan du kan kontakte PwC og/eller klage i PwC’s privatlivspolitik.

Hide

© 2021 - 2026 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.