Öppettider: Mån - Sön, kl. 09:00 - 20:00

Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder

Behandling
5 min. läsning

Företag ska vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder för att bland annat förhindra personuppgiftsincidenter. Dessutom behöver företag ha interna rutiner för att minimera riskerna och för att kunna upptäcka eventuella personuppgiftsincidenter. En personuppgiftsincident är en säkerhetsincident som innebär att någon obehörig får tillgång till personuppgifter, att personuppgifter blir förstörda eller obehörigt ändrade.

Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder

Företag ska börja med att analysera vilka personuppgifter de behandlar. Därefter i vilken omfattning det sker och eventuella risker med behandlingen. I vissa fall behöver företag även utföra en konsekvensbedömning innan behandlingen sker. Konsekvensbedömningen avseende dataskydd (på engelska kallad Data Protection Impact Assessment, DPAI) ska dessutom vara skriftligen dokumenterad.

Ju känsligare personuppgifter, desto högre är kraven på säkerheten. Det finns fyra grupper av integritetskänsliga personuppgifter, varav en av grupperna är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter om hälsa, religion och politiska åsikter. Ett företag fick betala över 180 miljoner pund på grund av bristfälliga säkerhetsåtgärder då hackare kom åt hundratusentals kreditkortsuppgifter.

Exempel på tekniska och organisatoriska åtgärder

Har kan du läsa några exempel på tekniska och organisatoriska åtgärder som företag kan implementera i sin verksamhet, för att uppfylla kraven avseende detta enligt GDPR.

Tekniska åtgärder:

Hantera lösenord

Företag brukar lagra personuppgifter online genom olika system. Det är viktigt att tänka på lösenordshanteringen för att inte obehöriga ska komma åt dem. Dessutom är det vanligt för företag att bli utsatta för bedrägeri där man försöker komma åt lösenord till olika system. Därför är det viktigt att vidta lämpliga skyddsåtgärder.

Här är några punkter som är bra att tänka på vid hantering av lösenord:

Lösenorden bör vara långa och komplicerade med olika symboler.
Spara inte lösenorden på webbplatsen.
Om personuppgifterna som företaget hanterar är skyddsvärda, bör företaget använda flerfaktorsautentisering, istället för att bara ha ett användarnamn och lösenord.
Ha olika lösenord för olika system och det är bra att ha en lösenordshanterare när företaget består av flera medarbetare.
Det är bra att ha någon intern regel för att läsa av lösenordet, så att det är svårt för någon obehörig att använda lösenorden, även fast de får tillgång till dem. Om lösenord exempelvis står nedskrivet någonstans, kan man lägga till exempelvis två tecken i början och tre i slutet, som inte ska bli använda. Då är det enbart behöriga personer som känner till denna regel, vilket innebär att lösenordet inte fungerar om det kopieras och klistras in i sin helhet.

Använd kryptering vid överföring av känsliga personuppgifter

Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. När ett företag hanterar känsliga personuppgifter är kraven högre och det är till exempel inte tillåtet att skicka känsliga personuppgifter via mejl som är okrypterad. Företag brukar hantera känsliga personuppgifter såsom sjukfrånvaro från anställda, vilket också brukar framgå i en lönespecifikation. Därför är det viktigt att inte skicka det via okrypterad mejl.

Backup-lagring

Företag ska även skydda personuppgifter från att gå förlorade. Det kan exempelvis ske genom att använda sig av backup-lagring, för att göra det möjligt att återskapa personuppgifterna.

Anti-virus program

Installation av anti-virusprogram är också exempel på en teknisk åtgärd som kan bli implementerad för att förhindra intrång i exempelvis arbetsdatorer, hårddiskar m.m.

Organisatoriska åtgärder:

Styra behörighet när personal slutar

Det är viktigt att ha rutiner för att kunna hantera behörigheten när personal slutar. Till exempel genom att inaktivera behörigheten i olika system. Dessutom kan medarbetarna byta arbetsroller eller gå på föräldraledighet vilket medför att företaget behöver styra behörigheten.

Upprätta personuppgiftsbiträdesavtal

Om ett företag (personuppgiftsansvarig) anlitar ett personuppgiftsbiträde, ska de upprätta ett personuppgiftsbiträdesavtal som ska vara skriftligt. När ett personuppgiftsbiträde anlitar ett personuppgiftsunderbiträde, behöver dock inte avtalet vara skriftligt.

Utse dataskyddsombud

Vissa företag behöver utse ett dataskyddsombud, som ska bli registrerat hos den nationella tillsynsmyndigheten. Dessutom ska kontaktuppgifter till personen vara tillgänglig för både registrerade och medarbetare på företaget.

Tillgodose rättigheterna för de registrerade

Företag måste kunna tillgodose de rättigheter som registrerade har enligt GDPR. Därför behöver de ha tillräckliga organisatoriska åtgärder. Till exempel har registrerade rätt att bli glömda, få sina personuppgifter rättade och rätt till information om behandlingen.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.

Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder

Exempel på tekniska och organisatoriska åtgärder

Tekniska åtgärder:

Organisatoriska åtgärder:

Du kanske också gillar

7 rättskällor som Europeiska unionen använder

Fyra friheter inom Europeiska unionen

Simhall får kamerabevaka bubbelpool för att förhindra olyckor

Kameraövervakning av fastighet eller allmän plats

Inom hur lång tid ska en personuppgiftsincident bli anmäld?

EU-domstolen och förhandsavgöranden