IMY har publicerat rekommendationer om hur företag kan förebygga incidenter som involverar personuppgifter (personuppgiftsincidenter). Om någon obehörig person får tillgång till personuppgifter, utgör det en personuppgiftsincident enligt bestämmelserna i GDPR. Detsamma gäller om personuppgifter blir oavsiktligt eller olagligt raderade, ändrade eller går förlorade.
I vissa fall ska företag anmäla personuppgiftsincidenter till IMY och meddela de registrerade som blivit påverkade av incidenten. En anmälningspliktig personuppgiftsincident ska rapporteras till IMY inom 72 timmar från den tidpunkt den personuppgiftsansvarige fick kännedom om incidenten. IMY är en förkortning av Integritetsskyddsmyndigheten.
Rekommendationer om hur företag kan förebygga incidenter (personuppgiftsincidenter)
Nedan följer en summering av IMY:s rekommendationer om hur företag kan förebygga personuppgiftsincidenter.
Implementera ett informationssäkerhetsarbete som är systematiskt
I och med att många personuppgiftsincidenter sker av misstag och orsaken är den mänskliga faktorn, behöver företaget göra det svårare för medarbetare att råka göra fel. Därför behöver företaget vidta olika lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skapa förutsättningar för korrekta behandlingar. Exempelvis genom att införa tydliga skriftliga rutiner och checklistor för vissa särskilda behandlingar av personuppgifter.
Ha en tillräckligt hög säkerhetsnivå
Ju känsligare personuppgifterna är som företaget behandlar, desto högre säkerhetsnivå behöver företaget ha för dessa. Ett företag fick betala över 180 miljoner pund på grund av att företaget inte hade tillräckligt hög säkerhetsnivå.
Vidta organisatoriska och tekniska säkerhetsåtgärder
Företag ska vidta olika lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skydda de personuppgifter som företaget behandlar. Till exempel att implementera flerstegsautentisering i de fall det går och att installera virusskydd i arbetsdatorer. Dessutom kan företag implementera interna rutiner som förbjuder medarbetare att använda vissa applikationer i arbetsmobilen. Vidare kan företag införa en lösenordspolicy som medarbetare ska följa, för att säkerställa att de använder starka och unika lösenord för de system de använder inom arbetet.
Behörighetsstyrning
Personuppgifter bör endast bli behandlade av de medarbetare som behöver utföra behandlingen för att fullgöra sina arbetsuppgifter. Därför är det viktigt för företag att tänka på att tilldela och återkalla olika behörigheter som medarbetarna kan ha till de system som behandlar personuppgifter. Åtkomst till personuppgifter bör tilldelas medarbetare vid behov, och när behovet upphör bör åtkomsten bli begränsad.
Inför processer för att hantera olika risker och personuppgiftsincidenter
Företag som behandlar personuppgifter måste genomföra olika riskanalyser och ha dokumenterade processer avseende bland annat hantering av personuppgiftsincidenter. De skriftliga rutinerna och processerna ska bli implementerade i praktiken, för att företaget ska kunna förebygga, upptäcka och hantera personuppgiftsincidenter.
Skapa en stark säkerhetskultur inom företaget
Genom att skapa en stark säkerhetskultur inom företaget, är det möjligt att både undvika och förhindra många typer av personuppgiftsincidenter. Medarbetarna behöver ha goda kunskaper om vad som kan utgöra en personuppgiftsincident, för att förstå hur de kan förhindra eller undvika incidenterna. Företaget kan exempelvis anordna workshops för medarbetare och utbilda dem inom dataskydd och cybersäkerhet. Det är även bra att ta lärdom av inträffade incidenter samt att kommunicera dessa till medarbetarna, för att förhindra att liknande incidenter uppstår i framtiden.
