EU - GDPR
Kryptering av personopplysninger
Kryptering av personopplysninger er både et felles og godt teknisk sikkerhetstiltak som skal iverksettes for å beskytte personopplysninger. Ikke bare trenger et selskap å bruke kryptering ved lagring av personopplysninger, det kan også være nyttig å bruke kryptering ved overføring av personopplysninger.
Hva kryptering betyr
Kort sagt betyr kryptering å transformere lesbare data til en form for forvrengt tekst. En slik forvrengt tekst kan da bare dekodes ved hjelp av en hemmelig nøkkel som gjør teksten lesbar igjen. Den hemmelige nøkkelen kan for eksempel bestå av en kombinasjon av tall som er opprettet på krypteringsenheten som krypteringen sendes fra, og på den krypterte enheten som meldingen sendes til.
Kryptering av personopplysninger er et godt teknisk tiltak å ta
Når en matematisk funksjon sammen med en kryptografisk nøkkel forvandler dataene for å gjøre det lesbart, utgjør det kryptering. Med andre ord, hvis du bare har krypteringsnøkkelen eller funksjonaliteten, er de krypterte dataene ikke lesbare.
Det er nyttig for selskapet å bruke kryptering som et teknisk sikkerhetstiltak ved sending av personopplysninger via åpne nettverk, for eksempel Internett. Et eksempel på dette er å sende krypterte e-poster.
Lønnsslipper med sensitive personopplysninger
Det er vanlig at lønnsslipper inneholder opplysninger om den ansattes sykefravær, som er helseopplysninger og dermed sensitive personopplysninger under GDPR. Hvis lønnsslippen inneholder informasjon om sykefravær, er det ikke lov å sende lønnsslippen til ansatte, med mindre meldingen er kryptert. Før ikrafttredelsen av GDPR i 2018 var det vanlig for arbeidsgivere å sende e-post til lønnsslipper ukryptert, men det er ikke lenger tillatt, da det ikke er tilstrekkelig sikkert.
Selskaper som beskytter personopplysninger mot uautorisert tilgang
Et selskap skal beskytte personopplysninger mot uautorisert tilgang, da det utgjør et brudd på personopplysninger. Bare det faktum at et selskap kan behandle personopplysninger, betyr ikke nødvendigvis at det er nødvendig for alle i selskapet å ha tilgang til det. I slike tilfeller kan det være nyttig å bruke krypteringsnøkler, slik at bare de ansatte som bør og trenger å ha tilgang til personopplysninger, mottar dem.
Tips for kryptering av personopplysninger
Trenger analyse
Ved å gjennomføre en behovsanalyse kan selskapet for eksempel finne ut hvilke personopplysninger og i hvilke situasjoner kryptering er hensiktsmessig. Det er også nyttig å analysere hvilken form for krypteringstjenester som er hensiktsmessig i tilfelle, for eksempel en cloud computing-tjeneste.
Dokumentasjon
Selskapet bør dokumentere hele analysen, da det er et middel for å demonstrere at selskapet overholder GDPR i samsvar med ansvarlighetsprinsippet. Det er spesielt viktig hvis personopplysninger er særlig verneverdige, for eksempel personvernsensitive personopplysninger.
Instruksjoner
Det er viktig at de som mottar en krypteringsnøkkel også vet hvordan den skal brukes, hva de har lov til å gjøre med personopplysningene osv. Det er derfor nyttig å utarbeide skriftlige instruksjoner for ansatte om kryptering og krypterte data.
Sikkerhet
Sørg for at krypteringstjenesten er tilstrekkelig sikker ved å utføre riktig forskning. Det er nyttig å bruke en krypteringstjeneste som er allment anerkjent. I tillegg er det viktig å beskytte krypteringsnøklene slik at ingen uvedkommende har tilgang til dem.
Kryptering fra ende til ende
Ende-til-ende-kryptering betyr at personopplysningene overføres kryptert hele veien til mottakeren fra avsenderen. Dette er enda viktigere når personopplysninger klassifiseres som sensitive i henhold til artikkel 9 i GDPR. På den annen side kan det være nyttig å gjøre det selv om det gjelder personvernsensitive personopplysninger.
Mer informasjon om GDPR
Nettverkssegmentering
En måte å beskytte personopplysninger mot uautorisert tilgang er gjennom nettverkssegmentering. Med andre ord, dele datanettverk i flere delnettverk, slik at bare det som er nødvendig er til stede i dette segmentet. Enkelt sagt betyr dette at for eksempel systemer eller servere som ikke trenger å kommunisere med hverandre, ikke gjør det.