Organisatoriska säkerhetsåtgärder
Informationsklassning
En organisatorisk säkerhetsåtgärd som kan vara lämplig att vidta är informationsklassning.
Informationsklassning utgör en organisatorisk säkerhetsåtgärd
Informationsklassning handlar om att dela in informationen i olika säkerhetsklasser. På så sätt blir det enklare att fatta korrekta beslut gällande vilka åtgärder företaget behöver vidta för att skydda de olika personuppgifterna.
Utgångspunkten är att ju viktigare personuppgifter, desto högre är säkerhetskraven.
Kraven om lämpliga säkerhetsåtgärder regleras i artikel 32 i GDPR
Den grundläggande dataskyddsprincipen integritet och konfidentialitet innebär att företag ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna de behandlar. Principen om ansvarsskyldighet innebär att företag måste kunna visa att de följer GDPR och en skriftlig informationsklassning kan därför vara lämplig.
Varför kan informationsklassning vara bra?
Det finns flera fördelar med informationsklassning. Företaget kan få det enklare att identifiera vilka personuppgifter som är mest skyddsvärda. All information är nämligen inte lika känslig, och om man behandlar allt på samma sätt kan det leda till exempelvis överdriven säkerhet som kan vara onödigt kostsamt. Dessutom blir det enklare att styra resurserna dit de behövs mest och avgöra åtkomstnivåer.
Informationsklassning kan bland annat bidra till uppfyllande av följande krav i GDPR:
- Integritet och konfidentialitet i enlighet med artikel 5.1.f i GDPR.
- Säkerhet i behandlingen i enlighet med artikel 32 i GDPR.
- Inbyggd dataskydd i enlighet med artikel 25 i GDPR.
- Ansvarsskyldighet i enlighet med artikel 5.2. i GDPR.
Dela in informationen i olika klasser:
1. Allmän/offentlig information
Det finns personuppgifter som kan delas offentligt och det brukar vara den minst känsliga informationen. Exempelvis profilbilder på mäklare som publiceras på mäklarbyråns webbplats. Det är ett yrke där det sådan publicering är vanligt förekommande i samband med extern kommunikation, såsom mäklarbyråns webbplats och sociala medier. Liknande gäller personuppgifter som finns i rapporter som företaget publicerar offentligt eller delger till myndigheter som blir offentliga handlingar.
2. Intern information
Det finns information som innehåller personuppgifter som inte bör spridas utanför företaget. Exempelvis utbildningsmaterial eller mötesanteckningar.
3. Skyddad information
Det finns viss information som enbart ett begränsat antal personer inom verksamheten bör få tillgång till. Exempelvis kundregister och löneuppgifter. Observera att det ofta är onödigt för alla anställda inom ett företag att ha tillgång till samtliga personuppgifter som behandlas för att kunna sköta sina arbetsuppgifter. Om en arbetstagare inte behöver tillgång till vissa personuppgifter, ska denne inte heller få det. Därför är det viktigt med behörighetsstyrning bland medarbetarna inom företaget.
4. Integritetskänsliga personuppgifter
Integritetskänsliga personuppgifter kan delas in i fyra grupper. Det är 1) personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott, 2) känsliga personuppgifter, 3) personnummer och 4) subjektivt integritetskänsliga personuppgifter. Däremot är enbart de första två särskilt reglerade i GDPR. Det är viktigt att vara noggrann med att säkerställa att personer som verkligen inte behöver ha tillgång till dessa personuppgifter, inte har det. Dessutom behöver företaget tillämpa hög säkerhet vid lagring av integritetskänsliga personuppgifter.
5. Subjektivt integritetskänsliga personuppgifter
Subjektivt integritetskänsliga personuppgifter utgör även en av de fyra grupperna av integritetskänsliga personuppgifter. Däremot finns det ingen exakt definition. Kort sagt, avses personuppgifter som den registrerade kan känna är integritetskänsliga för någon annan att behandla, även fast de inte är känsliga enligt artiklarna 9-10 i GDPR. Exempelvis kreditkortsnummer, betyg och subjektiva bedömningar av resultat. Däremot brukar företag behandla subjektivt integritetskänsliga personuppgifter, såsom underlag för att dokumentera medarbetarnas prestationer. Det kan handla om anteckningar från utvecklingssamtal.
6. Känsliga personuppgifter
Känsliga personuppgifter utgör också en av de fyra grupperna av integritetskänsliga personuppgifter. Det finns särskilda regler i artikel 9 i GDPR om behandlingar av känsliga personuppgifter. Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter såsom religiös övertygelse, politiska åsikter och uppgifter om hälsa. Däremot finns det undantag. Företag brukar exempelvis behandla sjukfrånvaro om de anställda och det är tillåtet. Men det är inte tillåtet att skicka en lönespecifikation med sjukfrånvaro via okrypterad e-post, eftersom det inte är tillräckligt säkert.
Hur kan företag arbeta med informationsklassning i praktiken?
Identifiering
Börja med att kartlägga vilka typer av personuppgifter som företaget behandlar.
Bedömning
Gör en bedömning av hur viktiga personuppgifterna är. Några faktorer att utgå från är integritetsrisker, affärsmässiga risker, vilka juridiska krav som finns och vilka konsekvenser det kan innebära för de registrerade vid en eventuell obehörig åtkomst.
Klassningsnivå
Dela in de olika personuppgifterna i olika skyddsklasser utifrån bedömningen.
Dokumentation
Tänk på att dokumentera informationsklassningen för att kunna visa att företaget följer GDPR, i enlighet med principen om ansvarsskyldighet.
Skyddsåtgärder
Ju viktigare personuppgifterna är, desto bättre skyddsåtgärder behöver företaget vidta. Analysera vilka personuppgifter som behöver vilka skyddsåtgärder.
Följ upp
GDPR är ett kontinuerligt arbete och det är bra att alltid följa upp arbetet och försöka förbättra det över tid.
Mer om GDPR
Interna sekretessavtal
Det är vanligt att företag vill förhindra att viss information når personer utanför företaget eller till andra obehöriga inom företaget. Därför brukar arbetsgivare ingå ett sekretessavtal eller inkludera en sekretessklausul i anställningsavtalet med de anställda. Det är medarbetarna som arbetar med GDPR i praktiken och ofta behandlar personuppgifter som en del av sina arbetsuppgifter. Interna sekretessavtal kan vara särskilt lämpliga om de anställda behandlar känsliga personuppgifter.