Informationssäkerhet för att försöka förhindra incidenter

Informationssäkerhet för att försöka förhindra att incidenter inträffar avseende personuppgifter, innebär att företag måste vidta lämpliga organisatoriska och tekniska åtgärder. Om personuppgifter läcker, blir förstörda eller förvanskade utgör det en incident.

Informationssäkerhet för att försöka förhindra incidenter

Förhindra incidenter genom informationssäkerhet

Informationssäkerhet handlar också om att ge korrekt information till rätta personer. Dessutom ska registrerade få information om vem som använder deras personuppgifter och syftet med behandlingen. Kärnan i GDPR handlar om att skydda integriteten hos privatpersoner och därmed personuppgifter som tillhör dem.

Minimera risken för incidenter

Företag ska arbeta med säkerheten kring behandlingen av personuppgifter för att minimera risken för att personuppgifter kommer i orätta händer. Det finns inget direkt svar på hur företag ska arbeta med informationssäkerhet för att minimera riskerna. Alla situationer är olika och säkerhetskraven skiljer sig åt, beroende på bland annat storlek och komplexitet av behandlingen. 

Tekniska och organisatoriska åtgärder

Företag behöver implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder för att kunna arbeta med informationssäkerhet i enlighet med GDPR. Dessutom ska företag analysera och planera sitt eget säkerhetsarbete för att tillse att regelverket avseende dataskydd efterlevs. Företag ska skydda de personuppgifter som företaget behandlar, och det kan ske på olika sätt.

Informationssäkerhet tekniska organisatoriska säkerhetsåtgärder minimerar personuppgiftsincidenter

Rutiner och struktur

Företag behöver bland annat rutiner och en tydlig struktur för att uppnå en hög säkerhet och därmed minska risken för personuppgiftsincidenter. Den mänskliga faktorn är en vanlig orsak till att incidener inträffar. Exempelvis kan en person stava en e-postadress felaktigt och av misstag skicka ut ett meddelande som innehåller personuppgifter till fel mottagare. 

Utgångspunkt för en bra struktur

– Ha en rättslig grund för behandlingen och följ de grundläggande dataskyddsprinciperna. 

Det är viktigt att ha svar på följande: Varför företaget behandlar personuppgifterna och vad ändamålen är med behandlingen. 

– Analysera skyddsobjektet 

Vilka personuppgifter företaget får behandla, vad det är företaget ska skydda, omfattningen av behandlingen och vilka risker som det medför, är några centrala delar att analysera och ha svar på vid analysen av skyddsobjektet. Företaget bör göra en riskanalys som är grundligt utförd innan behandlingen sker. Dessutom bör företaget enligt GDPR göra en konsekvensbedömning om personuppgifterna som företaget behandlar är känsliga. Exempelvis uppgifter som avslöjar information om hälsa, etniskt ursprung, politiska åsikter, sexuell läggning m.m.

– Analysera risker och kom fram till lösningar och åtgärder 

Företag behöver komma fram till vilka tekniska och organisatoriska säkerhetsåtgärder som är nödvändiga för att skydda personuppgifterna. Dessutom bör företaget komma fram till de åtgärder som krävs för att uppfylla säkerhetskraven. Tänk på att kommunicera med medarbetarna, så att alla är medvetna om hur de ska utföra sina arbetsuppgifter i enlighet med GDPR. Interna utbildningar kan också vara en nödvändigt i många fall. 

– Dokumentera besluten 

Företag måste kunna bevisa att de följer GDPR. Det är omvänd bevisbörda och därför behöver inte IMY eller någon registrerad bevisa att företaget bryter mot GDPR. Det innebär bland annat att företag behöver ha nödvändiga skriftliga dokument och avtal, för atts tyrka att företaget följer regelverket. Tänk på att dokumentera besluten gällande informationssäkerheten såsom:

– Vad företaget gör och vad behandlingen går ut på, 

– Tanken bakom besluten och motiveringen till beslutet,

– Rutiner för att skydda personuppgifterna och interna styrdokument kring behandling av personuppgifter. 

Exempel på tekniska säkerhetsåtgärder

Hantering av lösenord

Företag brukar lagra personuppgifter online genom olika system. Det är viktigt att tänka på lösenordshanteringen för att obehöriga inte ska komma åt uppgifterna. Dessutom är det vanligt för företag att bli utsatta för bedrägerier, där bedragare försöker komma åt lösenord till olika system. Därför är det viktigt att vidta lämpliga skyddsåtgärder. 

Här är några punkter som är bra att tänka på vid hantering av lösenord: 

– Lösenorden bör vara långa och komplicerade med olika symboler. 

– Spara inte lösenorden på webbplatsen. 

– Inför rutiner för att samtliga medarbetare ska byta sina lösenord till de system de använder inom verksmaheten.

– Om personuppgifterna som företaget hanterar är skyddsvärda, bör företaget använda flerfaktorsautentisering istället för att bara ha ett användarnamn och lösenord. 

– Ha olika lösenord för olika system och det är bra att ha en lösenordshanterare när företaget består av flera medarbetare. 

– Det är bra att ha någon kod för att läsa av lösenordet, så att det är svårt för någon obehörig att använda det även fast de får tillgång till lösenorden. Om lösenordet exempelvis är “e#s29+!rkdmZ9TtLkp5” och det är registrerat i ett system eller dokument, kan man lägga till två tecken i början och tre i slutet. Då står det istället “X4e#s29+!rkdmZ9TtLkp5M9G” där lösenorden är lagrade, men enbart behöriga personer känner till att de två första och tre sista tecknen inte ska bli använda. 

Använd kryptering vid överföring av känsliga personuppgifter

Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. När ett företag hanterar känsliga personuppgifter är kraven högre och det är till exempel inte tillåtet att skicka känsliga personuppgifter via mejl som är okrypterad. Företag brukar hantera känsliga personuppgifter, såsom sjukfrånvaro från anställda, vilket också brukar framgå i en lönespecifikation. Därför är det viktigt att inte skicka det via okrypterad mejl. 

Säkerhetskopiering av filer

Personuppgifter ska även bli skyddade mot förstöring och att gå förlorade. Därför är det bra att företag inför någon form av backup lagring. Säkerhetskopiering av personuppgifter, filer och dokument utgör en form av teknisk säkerhetsåtgärd som företag kan implementera.

Exempel på organisatoriska säkerhetsåtgärder

Styra behörigheter när personal slutar

Det är viktigt att ha rutiner för att kunna hantera behörigheten när personal slutar. Till exempel genom att inaktivera behörigheten i olika system som den personen har tillgång till. Dessutom kan medarbetarna byta arbetsroller eller gå på föräldraledighet, vilket medför att företaget behöver styra behörigheten. 

Upprätta personuppgiftsbiträdesavtal

Om ett företag (personuppgiftsansvarig) anlitar ett personuppgiftsbiträde, ska dessa parter upprätta och ingå ett personuppgiftsbiträdesavtal med varandra. Avtalet ska vara skriftligt enligt reglerna i GDPR. När ett personuppgiftsbiträde anlitar ett personuppgiftsunderbiträde, behöver avtalet dock inte vara skriftligt. 

Utse dataskyddsombud

Vissa företag behöver utse ett dataskyddsombud, som ska bli registrerat hos den nationella tillsynsmyndigheten. Dessutom ska kontaktuppgifter till datskyddsombudet vara tillgänglig för både registrerade och medarbetare på företaget. 

Tillgodose rättigheterna för de registrerade

Företag måste kunna tillgodose de rättigheter som registrerade har enligt GDPR. Därför behöver de ha tillräckliga organisatoriska åtgärder. Till exempel har registrerade rätt att få sina personuppgifter raderade, rättade och de har rätt till information om behandlingen.