Organisatoriske sikkerhetsmål
Klassifisering av opplysninger
Et organisatorisk sikkerhetsforanstaltning som kan være hensiktsmessig, er informasjonsklassifisering.
Informasjonsklassifikasjon er et organisatorisk sikkerhetstiltak
Informasjonsklassifisering handler om å dele informasjonen inn i ulike sikkerhetsklasser. Dette vil gjøre det lettere å ta riktige beslutninger om hvilke tiltak selskapet må ta for å beskytte de ulike personopplysningene.
Utgangspunktet er at jo viktigere personopplysninger er, jo høyere er sikkerhetskravene.
Kravene til passende sikkerhetstiltak er regulert i artikkel 32 GDPR
Det grunnleggende databeskyttelsesprinsippet om integritet og konfidensialitet krever at selskaper implementerer hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysningene de behandler. Ansvarsprinsippet innebærer at selskapene må kunne påvise samsvar med GDPR, og en skriftlig klassifisering av informasjon kan derfor være hensiktsmessig.
Hvorfor kan informasjonsklassifikasjon være nyttig?
Det er flere fordeler med klassifisering av informasjon. Selskapet kan finne det lettere å identifisere hvilke personopplysninger som er mest verdig beskyttelse. Ikke all informasjon er like sensitiv, og å behandle alt på samme måte kan for eksempel føre til overdreven sikkerhet som kan være unødvendig kostbart. I tillegg vil det være lettere å lede ressurser dit de trengs mest og bestemme tilgangsnivåer.
Informasjonsklassifisering kan blant annet bidra til å oppfylle følgende krav i GDPR:
- Integritet og konfidensialitet i henhold til artikkel 5 (1) (f) GDPR.
- Sikkerhet ved behandling i henhold til artikkel 32 i GDPR;
- Databeskyttelse ved design i samsvar med artikkel 25 i GDPR.
- Ansvar i henhold til artikkel 5 nr. 2 GDPR.
Del informasjonen inn i forskjellige klasser:
1. Generell/offentlig informasjon
Det er personopplysninger som kan deles offentlig, og dette er vanligvis den minst sensitive informasjonen. For eksempel profiler av meglere publisert på meglerbyråets nettsted. Det er et yrke hvor slik publisering er vanlig i sammenheng med ekstern kommunikasjon, som meglerbyråets nettsted og sosiale medier. Tilsvarende gjelder personopplysninger i rapporter som selskapet offentliggjør offentlig eller kommuniserer til offentlige myndigheter som blir offentlige dokumenter.
2. Intern informasjon
Det er informasjon som inneholder personopplysninger som ikke bør deles utenfor selskapet. For eksempel opplæringsmateriell eller møtenotater.
3. Proprietær informasjon
Det er noen opplysninger som bare et begrenset antall personer i virksomheten bør ha tilgang til. For eksempel kunderegistre og lønnsopplysninger. Vær oppmerksom på at det ofte er unødvendig for alle ansatte i et selskap å ha tilgang til alle personopplysninger som behandles for å utføre sine oppgaver. Hvis en arbeidstaker ikke trenger tilgang til visse personopplysninger, skal han eller hun heller ikke motta dem. Derfor er kompetansestyring blant ansatte i selskapet viktig.
4. Personopplysninger som er sensitive for personvern
Personvernsensitive personopplysninger kan deles inn i fire grupper. Dette er (1) personopplysninger knyttet til straffedommer og lovovertredelser, (2) sensitive personopplysninger, (3) personnummer og (4) subjektive personvernsensitive personopplysninger. Kun de to første er regulert av GDPR. Forsiktighet bør utvises for å sikre at personer som virkelig ikke trenger å ha tilgang til disse personopplysningene, ikke har det. I tillegg må selskapet ha et høyt sikkerhetsnivå ved lagring av personvernsensitive personopplysninger.
5. Subjektive personvernsensitive personopplysninger
Subjektive personvernsensitive personopplysninger er også en av de fire gruppene av personvernsensitive personopplysninger. Det finnes imidlertid ingen presis definisjon. Kort sagt refererer det til personopplysninger som den registrerte kan føle er personvernsensitive for noen andre å behandle, selv om de ikke er sensitive i henhold til artikkel 9 til 10 i GDPR. For eksempel kredittkortnumre, vurderinger og subjektive vurderinger av ytelse. Derimot behandler selskaper vanligvis subjektivt personvernsensitive personopplysninger, som grunnlag for å dokumentere ansattes prestasjoner. Disse kan inkludere notater fra utviklingssamtaler.
6. Sensitive personopplysninger
Sensitive personopplysninger er også en av de fire gruppene av personvernsensitive personopplysninger. Det er spesifikke regler i artikkel 9 i GDPR om behandling av sensitive personopplysninger. Hovedregelen forbyr behandling av sensitive personopplysninger som religiøs tro, politiske meninger og helseopplysninger. Det finnes imidlertid unntak. Et foretak behandler for eksempel vanligvis sykefravær dersom ansatte og det er tillatt. Det er imidlertid ikke tillatt å sende en lønnsslipp med sykefravær via ukryptert e-post, da den ikke er tilstrekkelig sikker.
Hvordan kan selskaper jobbe med informasjonsvurdering i praksis?
Identifikasjon
Start med å kartlegge hvilke typer personopplysninger som behandles av bedriften din.
Vurdering av
Vurdere betydningen av personopplysningene. Faktorer som må tas i betraktning inkluderer personvernrisiko, kommersielle risikoer, juridiske krav og konsekvensene for registrerte ved uautorisert tilgang.
Rangeringsnivå
Del de ulike personopplysningene inn i ulike beskyttelseskategorier basert på vurderingen.
Dokumentasjon
Vær oppmerksom på at i henhold til ansvarlighetsprinsippet er informasjonsklassifiseringen dokumentert for å kunne demonstrere at selskapet overholder GDPR.
Sikringsinnretninger
Jo viktigere personopplysningene er, desto bedre er de garantier selskapet trenger for å få på plass. Analysere hvilke behov for personopplysninger som ivaretas.
Oppfølging
GDPR er en kontinuerlig øvelse, og det er godt å alltid følge opp øvelsen og prøve å forbedre den over tid.
Mer om GDPR
Interne fortrolighetsavtaler
Det er vanlig at selskaper ønsker å hindre at visse opplysninger når personer utenfor selskapet eller andre uautoriserte personer i selskapet. Derfor inngår arbeidsgivere vanligvis en taushetserklæring eller inkluderer en konfidensialitetsklausul i ansettelseskontrakten med de ansatte. Det er de ansatte som jobber med GDPR i praksis og ofte behandler personopplysninger som en del av sine oppgaver. Interne konfidensialitetsavtaler kan være spesielt hensiktsmessige når ansatte behandler sensitive personopplysninger.