GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Information om GDPR

Företag behöver arbeta med sin informationssäkerhet

Företag behöver arbeta med sin informationssäkerhet för att säkerställa ett tillräckligt skydd för behandlade personuppgifter. Tekniska och organisatoriska säkerhetsåtgärder bör vitas för att främst hindra personuppgifter från att läcka ut eller obehörigt ändras eller förstöras.

GDPR - Informationssäkerhet

En stor del av informationssäkerhet handlar om att rätt personer inom ett företag ska ha åtkomst till rätt information och i rätt tid, för företaget ska kunna fullfölja sina skyldigheter enligt GDPR. Till exempel om företaget behöver anmäla personuppgiftsincidenten till den nationella dataskyddsmyndigheten ska det ske inom 72 timmar från upptäckten. Om en registrerad begär att få tillgång till sina personuppgifter i enlighet med GDPR är det viktigt att medarbetare som ska tillgodose denna rättighet i praktiken vet hur de ska gå tillväga.

Personuppgiftsincidenter och hur de ska bli hanterade

Om en obehörig person får tillgång till personuppgifter som företaget behandlar, är det en personuppgiftsincident. Till exempel om en person hackar sig in i ett datasystem och får tillgång till personuppgifter. Dessutom är det fråga om obehörig åtkomst ifall en medarbetare inom företaget som inte ska ha tillgång till personuppgifter, får det i alla fall. Personuppgiftsincidenter kan få allvarliga konsekvenser för registrerade, såsom bedrägeri, identitetsstöld eller skadlig ryktesspridning.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Det är också en personuppgiftsincident om personuppgifter blir obehörigt raderade eller ändrade. Till exempel om ett dator som behandlar personuppgifter blir drabbad av ett virus och alla personuppgifter därför går förlorade. Därför är det bra att implementera tekniska säkerhetsåtgärder, såsom att lagra backup-filer på en molntjänst och att installera antivirus system. 

Riskbedömning av en inträffad personuppgiftsincident

När en personuppgiftsincident inträffar, ska företaget göra en riskbedömning. Syftet är att företaget ska bedöma vilken risk som personuppgiftsincidenten kan innebära för de berörda registrerade. Därefter kan företaget avgöra om de behöver informera dem om den inträffade personuppgiftsincidenten eller inte. Känsligheten i personuppgifterna är en viktig faktor vid bedömningen om hur allvarlig incidenten är. Ju viktigare personuppgifter, desto allvarligare är det.

Dokumentation av inträffade enskilda personuppgiftsincidenter

Alla företag måste skriftligen dokumentera inträffade personuppgiftsincidenter. Det gäller oavsett om företaget behöver informera tillsynsmyndigheten och/eller de registrerade om det inträffade eller inte. Observera att den nationella dataskyddsmyndigheten kan begära att få tillgång till dokumentationen om personuppgiftsincidenten vid en eventuell tillsyn. Dokumentationen ska bland annat innehålla information om vad som har inträffat och vilka åtgärder som företaget har vidtagit därefter.

Gränsöverskridande behandling av personuppgifter

I vissa fall kan en personuppgiftsincident ha anknytning till flera länder inom EU. Vid sådana fall är det fråga om en gränsöverskridande personuppgiftsincident. Det är viktigt för företag som behandlar personuppgifter i flera länder inom unionen att veta vilken som är företagets ansvariga tillsynsmyndighet. Om en gränsöverskridande personuppgiftsincident inträffar som är anmälningspliktig, ska företaget göra anmälan till den ansvariga tillsynsmyndigheten.

Förebyggande åtgärder

Företag ska förebygga personuppgiftsincidenter genom att vidta lämpliga åtgärder. Dessutom behöver företag veta hur de ska agera om det väl inträffar en personuppgiftsincident. Till exempel kan företaget skapa interna rutiner för att medarbetarna ska veta vad de ska göra. Det är viktigt att agera så snabbt som möjligt vid misstanke om eller upptäckt av en personuppgiftsincident, eftersom konsekvenserna kan bli värre, ju längre tiden går.

Tips: Företag kan ladda ner en vägledning från den Europeiska dataskyddsstyrelsen om hur företag kan hantera personuppgiftsincidenter.

Informera de registrerade om en inträffat personuppgiftsincident

Om det inträffar en personuppgiftsincident, måste företaget  i vissa fall informera de berörda registrerade. Detta ska ske om personuppgiftsincidenten sannolikt leder till en hög risk för de registrerades fri- och rättigheter. Dessutom kan företaget i vissa fall behöva anmäla personuppgiftsincidenten till den nationella dataskyddsmyndigheten. En anmälan till den nationella dataskyddsmyndigheten ska ske inom 72 timmar från och med upptäckten. Det är den personuppgiftsansvarige som ansvarar för att genomföra anmälan.

Ett företag i Polen fick betala en sanktionsavgift för att bland annat ha brustit i sin förpliktelse att anmäla personuppgiftsincidenten till tillsynsmyndigheten i tid.

Organisatoriska säkerhetsåtgärder för att skydda behandlade personuppgifter

Företag ska vidta bland annat lämpliga organisatoriska åtgärder för att skydda personuppgifter de behandlar. Detta framgår i en av de grundläggande principerna i artikel 5.1.f i GDPR, nämligen principen om integritet och konfidentialitet. Med andra ord att företag måste vidta lämplig säkerhet vid behandling av personuppgifter.

Behörighetsstyrning som säkerhetsåtgärd

För att säkerställa att inte fler personer än nödvändigt får tillgång till personuppgifter, är det bra att implementera en god behörighetsstyrning. Med andra ord, att bestämma vem som kan få ta del av vilka personuppgifter. Inom juridiken och GDPR är begreppen behörighet och befogenhet viktiga termer att förstå.

Behörighet

Detta handlar om vilken åtkomst en person har till personuppgifter.

Befogenhet

Detta handlar om vad en person har tillåtelse att göra med personuppgifterna, samt när och hur behandlingen får ske.

Instruktioner och interna rutiner till medarbetare

För att minimera risken att medarbetare bryter mot reglerna i GDPR och för att göra deras arbete enklare, är det bra att upprätta skriftliga instruktioner. Till exempel skriftliga rutiner om hur medarbetare ska gå tillväga när en personuppgiftsincident inträffar. Skriftliga instruktioner och interna rutiner är också ett bra sätt att visa att företaget följer GDPR och principen om ansvarsskyldighet.

Utbildning om dataskydd till medarbetare

Det är bra att erbjuda utbildning till personal som arbetar med frågor inom dataskydd. Framförallt om företaget har ett dataskyddsombud. Till exempel bör företaget erbjuda vidareutbildning till sitt dataskyddsombud inom GDPR när det kommer ny praxis. Dessutom är det bra att erbjuda någon typ av grundläggande utbildning inom GDPR till övriga medarbetare som behandlar personuppgifter såsom chefer, kundtjänstarbetare och säljare.

Att bygga en god och stark säkerhetskultur

Det är bra att bygga en bra säkerhetskultur inom företaget som genomsyrar hela verksamheten, inklusive behandling av personuppgifter. Med andra ord handlar detta om att skapa gemensamma värderingar, erbjuda kunskap och skapa en motiverande attityd gällande dataskyddsarbetet. Till exempel är det bra att skapa rutiner och instruktioner om hur medarbetare ska agera och rapportera misstänkta personuppgiftsincidenter.  

Tekniska säkerhetsåtgärder för att skydda personuppgifter

Utöver de organisatoriska säkerhetsåtgärderna som företaget behöver vidta, ska även tekniska säkerhetsåtgärder vidtas för att skydda personuppgifterna. Vilka åtgärder som företag behöver vidta, beror bland annat på vilken typ av behandling det är och hur viktiga personuppgifterna är. Nedan kan du läsa om några exempel på vanliga tekniska säkerhetsåtgärder.

Autentisering inför inloggning

Det kan vara nödvändigt för personer att bekräfta sin identitet innan de får åtkomst till personuppgifter, även kallat för autentisering. Till exempel när de loggar in i ett system som behandlar personuppgifter, såsom företagets ekonomisystem eller CRM-system. Beroende på situationen, kan företaget behöva vidta säkrare autentiseringsprocess. Exempelvis genom att kräva ytterligare verifikation av identiteten i samband med inloggning, såsom fingeravtryck eller en kod.

Om en person loggar in på en bank för att överföra pengar, är det inte tillräckligt säkert att bara logga in med ett användarnamn och lösenord. Däremot kan det vara tillräckligt om personen ska logga in på företagets sociala medier.

Kryptering av information

Kryptering är en vanlig teknisk säkerhetsåtgärd för företag att vidta med syftet att skydda personuppgifter. Speciellt när det handlar om extra skyddsvärda personuppgifter, såsom känsliga personuppgifter reglerade i artikel 9 i GDPR. Kryptering innebär kort sagt att data blir läsbar enbart genom att uppge en korrekt hemlig krypteringsnyckel. Detta minskar risken för att obehöriga får åtkomst till informationen.

I vissa fall kan det vara nödvändigt med kryptering av personuppgifter både vid överföring och lagring av dem. Till exempel om en arbetsgivare vill skicka en lönespecifikation via mejl till en anställd som innehåller information sjukfrånvaro, vilket är en känslig personuppgift. Vid sådana fall bör lönespecifikationen skickas med krypterad e-post.

Säkerhetskopiering av data

Det är många som inte känner till att personuppgifter som olovligt ändras eller raderas, utgör en typ av personuppgiftsincident. Till exempel om en dator som lagrar personuppgifter får ett virus och personuppgifterna därmed går förlorade. Därför är det bra att ha en säkerhetskopiering av personuppgifterna, exempelvis på en molntjänst. Observera att det är viktigt att skydda säkerhetskopiorna, precis som originalet.

Nätverkssegmentering

Genom att dela upp ett datanätverk till flera delnätverk (nätverkssegmentering), kan företaget förebygga obehörig åtkomst och obehörigt röjande av personuppgifter. Med andra ord innebär nätverkssegmentering att man hindrar kommunikation mellan till exempel två system, som inte är i behov av att kommunicera med varandra.

Om en obehörig person kommer in i ett delnätverk, får denne därmed inte tillgång till all information som skulle ha funnits där, om företaget inte delat upp datanätverket i flera delnätverk.

More information about GDPR

Transferring personal data to a third country

If a company transfers personal data to a country outside the EU/EEA, it is a transfer to a third country. It may be allowed, but the rules are stricter. An example of a transfer to a third country is if a company in Germany sends a document to a company in the United States containing personal data. It is important to know the rules for third-country transfers in order not to violate the GDPR.

Want to learn more?

Read more
Rulla till toppen