Principen om integritet och konfidentialitet
Företag har en skyldighet att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som företaget behandlar enligt principen om integritet och konfidentialitet.
Integritet och konfidentialitet
Företag måste se till att obehöriga personer inte får tillgång till personuppgifterna som företaget behandlar. Dessutom ska företag se till att personuppgifter varken går förlorade eller blir förstörda. Sådana händelser är klassade om personuppgiftsincidenter enligt GDPR, oavsett om det sker avsiktligt eller oavsiktligt. Om det inträffar en personuppgiftsincident, kan det behöva bli anmält till dataskyddsmyndigheten i landet och i vissa fall även till de registrerade som blivit drabbade.
Företag ska se till att ingen obehörig får tillgång till personuppgifterna. Det är skillnad på obehörigt röjande och obehörig åtkomst som är två viktiga begrepp inom GDPR. Detta utgör en central del av principen om integritet och konfidentialitet.
Ju känsligare personuppgifter, desto högre säkerhetskrav
Beroende på vilka typer av personuppgifter som företaget behandlar kan kraven se annorlunda ut. Ju mer integritetskränkande och känsligare personuppgifterna är, desto högre är säkerhetskraven på företaget. Inom GDPR är det även skillnad på vanliga, integritetskänsliga och känsliga personuppgifter, varav känsliga personuppgifter kräver högst säkerhet.
Tekniska och organisatoriska åtgärder
Företag behöver implementera både tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Exempel på tekniska säkerhetsåtgärder:
– Kryptering
– Virus-skydd
– Molntjänst med säkerhetskopiering
– Tvåfaktorsautentisering vid inloggning
Exempel på organisatoriska säkerhetsåtgärder:
– Interna rutiner
– Interna utbildningar
– Instruktioner och riktlinjer
– Behörighetsbegränsningar till interna system
Ett företag fick betala ungefär 200 miljoner euro för otillräckliga säkerhetsåtgärder
Ett stort internationellt företag fick över 180 miljoner pund i sanktionsavgift för att de inte hade tillräckligt bra säkerhetsåtgärder, vilket ledde till att hackare kom åt kreditkortsuppgifter tillhörande många kunder.
Regionstyrelsen i Region Uppsala saknade lämpliga tekniska och organisatoriska åtgärder
Regionstyrelsen i Region Uppsala i Sverige fick betala en sanktionsavgift eftersom de saknade lämpliga tekniska och organisatoriska åtgärder. De skickade känsliga personuppgifter via e-post och informationen var inte krypterad. Däremot var överföringen av e-posten det. Regionstyrelsen kände till riskerna med behandlingen, men hade inte vidtagit lämpliga åtgärder för att motverka personuppgiftsincidenter. Exempelvis kunde obehöriga ta del av informationen, eftersom det saknades skyddsåtgärder för att förhindra det.
Principen om ansvarsskyldighet
Det är företaget som ansvarar för att kunna visa att de följer GDPR, vilket innebär en omvänd bevisbörda. Det går att styrka efterlevnad av GDPR det på flera sätt. Till exempel genom att informera de registrerade om behandlingen skriftligt, upprätta en eller flera registerförteckningar, upprätta interna rutiner och hålla interna utbildningar om behandling av personuppgifter för personalen. Dessutom kan företag i vissa fall behöva utföra en konsekvensbedömning innan behandlingen av personuppgifter blir påbörjad.