GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

organizational security measures

Clean-desk prosedyre som et organisatorisk sikkerhetstiltak

For å redusere risikoen for unødig eksponering av personopplysninger, er det nyttig å innføre en ren Clean-desk prosedyre som et organisatorisk sikkerhetstiltak. 

Hva er en Clean-desk prosedyre?

En clean-desk prosedyre er et organisatorisk sikkerhetsforanstaltning som mange bedrifter bør ta. Det er enkelt, men kan ha stor innvirkning. Kort sagt handler det om å sikre at materiale som inneholder personopplysninger eller annen sensitiv informasjon ikke er synlig for noen. Dette kan være fysisk informasjon, men også digital informasjon. 

Hvilke deler av GDPR en ren skrivebordsprosedyre kan hjelpe bedrifter med å overholde

  • Beskytte personopplysninger mot uautorisert tilgang i samsvar med prinsippet om integritet og konfidensialitet. 
  • Reduserer risikoen for utilsiktede datalekkasjer.
  • Hjelper selskapet med å demonstrere samsvar med GDPR i tråd med ansvarlighetsprinsippet.
What breaches of the GDPR can lead to an administrative fine?

Når er renhold spesielt viktig?

  • Arbeidsmiljøer. 
  • Kontorer som får mange besøk. 
  • Finansielle avdelinger. 
  • HR-avledninger. 
  • Når en aktivitet behandler sensitive personopplysninger. 
  • Telekommunikasjon i et offentlig miljø. 
  • Hvis arbeidsplassen er i nærheten av et vindu som folk passerer gjennom.

Definisjon av et brudd på personopplysningssikkerheten

Forekomsten av en hendelse som fører til ulovlig eller utilsiktet tap, endring, ødeleggelse, uautorisert tilgang til eller utlevering av personopplysninger utgjør et brudd på personopplysninger. Brudd på personopplysninger er en sikkerhetshendelse. Det spiller ingen rolle om det var forsettlig eller ikke. Derfor er det viktig å forhindre brudd på personopplysningssikkerheten som kan føre til alvorlige konsekvenser for de registrerte. I tillegg skal visse brudd på personopplysningssikkerheten rapporteres til de registrerte som er berørt, samt til den nasjonale personvernmyndigheten. 

Mange brudd på personopplysninger skjer gjennom enkle feil

Det er godt å vite at mange brudd på personopplysninger skjer gjennom enkle feil, ikke cyberangrep. Et svært vanlig brudd på personopplysninger er e-postmeldinger som inneholder personopplysninger og sendes til feil mottaker. 

Prosedyre for fysisk renhold av skrivebord

Hvis ansatte på et kontor har papir på sine arbeidsbord som inneholder personopplysninger, for eksempel om kunder, og en besøkende går gjennom og ser eller kan se personopplysningene, er det et brudd på personopplysninger. Derfor bør arbeidstakere unngå å ha papir med personopplysninger åpne på arbeidsbordet.

What is the definition of anonymised data?
Prosedyre for digital renhold

Et annet eksempel er hvis arbeidstakere har dokumenter på sine arbeidsdatamaskiner når de for eksempel forlater skrivebordet for å hente kaffe, noe som øker risikoen for eksponering og brudd på personopplysninger. Derfor bør arbeidere ha skjermbilder på datamaskinene sine, og det kan være nyttig å ha et skjermskjold slik at forbipasserende ikke kan se innholdet på skjermen fra siden. I tillegg bør arbeidstakere stenge sine åpne dokumenter hvis de forlater arbeidsplassen av en eller annen grunn.

Hvilke regler kan en ren skrivebordsprosedyre inneholde?

Rengjør skrivebordet daglig

Ikke legg igjen fysiske dokumenter, tagger eller notater som inneholder personopplysninger eller annen sensitiv informasjon på skrivebordet på slutten av arbeidsdagen. Det samme gjelder for å lukke alle digitale dokumenter på datamaskinen og slå dem av.

Låse oppbevaringsområder

Sikre at lagringsområder, både fysiske og digitale, er låst når de ikke er i bruk

Bruk maskiner som ødelegger dokumenter

Noen dokumenter kan være nyttige å ødelegge, og det er nyttig å gjøre det med makuleringsmaskiner. Med andre ord, en maskin som ødelegger dokumenter, i stedet for å kaste dokumentet direkte i søpla.

Passordbeskyttelse

Sørg for at datamaskinen er passordbeskyttet til enhver tid, slik at ingen uautorisert person kan få tilgang til den.

Oppbevar bærbare enheter sikkert

Vær oppmerksom på at alle bærbare enheter må lagres trygt. For eksempel bærbare datamaskiner, mobiltelefoner og nettbrett som brukes til arbeidsformål.

Fjern midlertidige notater

Sporadiske notater, for eksempel post IT-tagger som inneholder personopplysninger som ansatte bruker i løpet av sitt arbeid og derfor holder på arbeidsbordet, skal slettes når det ikke lenger er behov for det.

Unngå personopplysninger på tavler

Hvis selskapet bruker tavler og registrerer personopplysninger der, er det viktig at de ikke blir sett av uvedkommende. For eksempel er det vanlig å bruke tavler i konferanserom som kan bestilles av forskjellige personer. Personopplysninger skal derfor ikke registreres eller slettes umiddelbart etter møtet.

Ikke ha navnelister offentlig

En vanlig feil er å ha navnelister offentlig for besøkende, uten rettslig grunnlag for behandlingen. Det kan være fysisk eller digitalt hvor besøkende kan se alle navnene på listen.

Ikke glem utskrifter igjen i skriveren

Det er nyttig å hele tiden sjekke utskrifter i en skriver, da dokumenter kan glemmes der.

Viktige hensyn for en ren skrivebordsprosedyre for å fungere i praksis

Utvikle en skriftlig politikk

Det første trinnet er å utvikle en skriftlig politikk. Der kan selskapet blant annet beskrive hvordan arbeidsbordene skal se ut, hvilken informasjon ansatte ikke bør gi, og hva de bør tenke på for et rent skrivebord.

What is the definition of anonymised data?

Informasjon og utdanning

Det er viktig å informere ansatte og gi dem relevant opplæring, slik at de kan utføre det som er angitt i politikken i praksis.

Sensitive personal data according to GDPR

Sørg for at rent skrivebord er inkludert i ombordstigningen

Informasjon og opplæring om selskapets interne framgangsmåter for overholdelse av GDPR bør gis i forbindelse med innføringsprosessen. Det vil si i forbindelse med introduksjonen av nykommere.

Subjektivt integritetskänsliga personuppgifter

Tilpass arbeidsplassen slik at den kan brukes i praksis

For at personalet skal ha et rent skrivebord, er det viktig å gi dem mulighetene. For eksempel bør selskapet kjøpe låsbare og sikre dokumentskap, makuleringsmaskiner om nødvendig, skjermbeskyttere og lignende.

Measures that companies need to take to comply with GDPR

Utfør tilfeldig prøvetaking

For å sikre at personalet overholder renholdsprosedyren, er det nyttig å utføre tilfeldige kontroller regelmessig.

What is the definition of anonymised data?

Kategorisere brudd på prosedyren som en intern hendelse

Det kan være nyttig for bedrifter å rapportere interne brudd på prosedyren, selv om det ikke nødvendigvis er brudd på personopplysninger. Målet bør være å gjøre selskapet i stand til å forbedre sitt arbeid i denne forbindelse.

Mer om GDPR

Regelmessig revisjon

Et annet godt organisatorisk sikkerhetstiltak som selskapene bør ta, er å gjennomføre regelmessige revisjoner på ulike områder. Ofte skjer dette internt, men i noen tilfeller kan det være hensiktsmessig å henvende seg til en ekstern part. For eksempel, når det gjelder høyrisikobehandlinger, er et objektivt perspektiv viktig. Regelmessige interne revisjoner av GDPR-samsvar vil bidra til å identifisere mangler og muligheter for forbedring før det er en alvorlig innvirkning. 

Lyst til å lære mer?

Les mer
Skroll til toppen