Artikkel 5 (1) (F) GDPR
Prinsippet om integritet og konfidensialitet
Selskaper som behandler personopplysninger må sørge for sikkerheten og konfidensialiteten til behandlingen. I tillegg skal selskapet vurdere risikoene som behandlingen medfører for de registrerte. For å overholde prinsippet om integritet og konfidensialitet skal foretaket gjennomføre ulike tekniske og organisatoriske sikkerhetstiltak.
Prinsippet om personvern og konfidensialitet i GDPR
Nivået på sikkerhetstiltak som selskapet trenger å implementere, varierer avhengig av arten av personopplysningene. Jo mer sensitive personopplysninger, jo mer sikkerhet må selskapet implementere. Artikkel 5 (1) (f) i GDPR regulerer prinsippet om integritet og konfidensialitet. Dette er et av de syv prinsippene for databeskyttelse i GDPR.
Selskapet må iverksette tiltak for å motvirke brudd på personopplysninger
Brudd på personopplysninger er en form for sikkerhetshendelse. Betydningen av et brudd på personvernforordningen er når personopplysninger ved et uhell eller ulovlig endres, mistes eller åpnes av uautoriserte personer.
Et vanlig brudd på personopplysninger er en e-post sendt til feil mottaker på grunn av en menneskelig feil. Dette kan for eksempel skje ved at avsenderen feilstaver mottakerens e-postadresse. Dette kan også gjøres ved å sende meldingen til feil mottaker.
I noen tilfeller er selskaper pålagt å rapportere brudd på personopplysninger til den nasjonale databeskyttelsesmyndigheten. Dersom slik rapportering kreves, skal meldingen skje innen 72 timer etter at hendelsen ble oppdaget. I tillegg kan selskapet også ha behov for å varsle de berørte datasubjektene om bruddet.
Implementere tekniske og organisatoriske sikkerhetstiltak
Selskaper skal forhindre brudd på personopplysninger ved å implementere passende sikkerhetstiltak. Beskyttelsestiltakene kan deles inn i to kategorier: Organisatoriske og tekniske sikkerhetsforanstaltninger; Nedenfor er noen eksempler på slike tiltak.
Eksempler på tekniske sikkerhetstiltak
Bruk antivirusprogramvare
Virus kan føre til tap av personopplysninger. De kan også tillate hackere som plantet viruset å få tilgang til personopplysninger. Derfor bør bedrifter ha antivirusprogramvare installert i enhetene som brukes av selskapet for behandling av personopplysninger.
Ha backup-filer
For eksempel, hvis en harddisk er ødelagt og inneholder personopplysninger, er det et brudd på personopplysninger hvis selskapet ikke har sikkerhetskopieringsfiler. I tillegg kan det være tidkrevende å gjenopprette tapte data. Derfor er det nyttig å ha backupfiler, for eksempel via en skytjeneste.
Aktiver multifaktorautentisering (MFA) når du logger inn
Det er nyttig å ha Multifactor Authentication (MFA) ved forskjellige pålogginger. Dette kan hindre uautorisert tilgang til informasjonen i systemet, selv om passordet er tilgjengelig.
Bruk komplekse og unike passord
En vanlig feil av noen mennesker er å ha for enkle passord. En annen vanlig feil er å gjenbruke det samme passordet for flere forskjellige systemer eller brukerkontoer. Hvis du har samme passord og noen kan få tilgang til det, er problemet større enn om det var forskjellige passord. I tillegg er det hackere som bruker roboter som tester tusenvis av forskjellige passord for å se om noe passer. Derfor bør vanskelige passord og noe kodesystem brukes til å lese passordet. Denne og mer nyttig kunnskap i cybersikkerhet er noe selskapet bør informere og trene sine ansatte om.
Kryptering av personopplysninger
Hvis et selskap behandler sensitive personopplysninger og må sende informasjonen via for eksempel e-post, bør det gjøre det ved kryptering. Sensitive personopplysninger inkluderer de som avslører etnisk opprinnelse, politiske meninger, religiøs eller filosofisk tro eller data om helse. Bedrifter i egenskap av arbeidsgivere behandler ofte opplysninger om arbeidstakernes helse, for eksempel sykefravær. Slik informasjon vises blant annet på lønnsslippen og skal derfor ikke sendes via e-post.
Bedrifter måtte betale en bot fordi de blant annet ikke hadde gjennomført en personvernkonsekvensanalyse (DPIA)
Tre selskaper måtte betale en bot for brudd på GDPR. Et av selskapene hadde lokalisert kjøretøyene til sine ansatte ved hjelp av et kjøredatasystem. Som sådan utgjorde det en høy risiko for de registrertes rettigheter og friheter, og krevde at en DPIA skulle utføres. Denne vurderingen skal utføres før de aktuelle personopplysningene behandles. Konsekvensen for selskapet var en bot på 16 000 euro.
Eksempler på organisatoriske sikkerhetstiltak
Etablere og inngå en skriftlig prosessoravtale
Et foretak som er behandlingsansvarlig og engasjerer et annet foretak som er databehandler, skal inngå en databehandleravtale med hverandre. Artikkel 28 i GDPR regulerer dette kravet. I tillegg, for å være gyldig under GDPR, må kontrakten være skriftlig. Når et selskap behandler personopplysninger på vegne av et annet selskap, er det en databehandler. Et eksempel er når et selskap engasjerer et regnskapsbyrå for å administrere selskapets regnskap. En databehandler kan også engasjere en annen databehandler (heretter kalt «underdatabehandler»), men bare med samtykke fra den behandlingsansvarlige.
Etablere interne prosedyrer
Bedrifter bør ha interne prosedyrer på plass for å sikre at ansatte behandler personopplysninger i henhold til GDPR i praksis. De interne prosedyrene selskapet bør ha varierer. For eksempel, avhengig av blant annet størrelsen på enheten, bransjen der enheten driver virksomhet, og arten av personopplysningene som behandles av enheten.
- Eksempler på hva de interne prosedyrene kan forholde seg til er:
- Varsling og håndtering av brudd på personopplysninger som har skjedd.
- Sletting eller anonymisering av personopplysninger.
- Behandlingen av de registrertes bruk av deres rettigheter, For eksempel retten til tilgang (artikkel 15 GDPR), retten til korrigering (artikkel 16 GDPR) og retten til å bli glemt (artikkel 17 GDPR).
Oppnevne databeskyttelsesansvarlig (DPO)
Noen selskaper er pålagt å utnevne en databeskyttelsesansvarlig (DPO) i henhold til lovkravene. DPO har en viktig rolle i selskapet, men trenger ikke nødvendigvis å være en ansatt. Det kan også være en tredjepart som er databeskyttelsesansvarlig for et selskap. Både registrerte og ansatte skal kunne kontakte personvernombudet ved eventuelle spørsmål. Det samme gjelder for den nasjonale databeskyttelsesmyndigheten. Derfor er det vanlig å inkludere kontaktinformasjonen til DPO i selskapets personvernerklæring. Bedrifter som ikke trenger å utnevne en databeskyttelsesansvarlig under GDPR, kan velge å gjøre det uansett som et frivillig tiltak.
Utnevne databeskyttelsesambassadører
Hvis selskapet har et stort antall ansatte eller flere kontorer, kan det være nyttig å utnevne databeskyttelsesambassadører. Ansatte i denne rollen fungerer som mellommenn for å gi informasjon om GDPR til de ulike enhetene og ansatte i selskapet. Hovedformålet er å sikre at nøkkelinformasjon om GDPR, som bestemmes av ledelsen, når ansatte. For eksempel å kommunisere nye GDPR-prosedyrer til ansatte eller informasjon om oppdagede brudd på personopplysninger til ledelsen, etc.
Brukertillatelser
Det er viktig at selskapet sikrer at brukere av de ulike systemene som behandler personopplysninger har de riktige tillatelsene. For eksempel bør bare noen få personer ha brukerkontoer med administratorrettigheter. Videre skal brukerne gis tilgang til data bare når de trenger tilgang til dem for å utføre sine oppgaver. Dette er en måte å redusere risikoen for brudd på personopplysninger på. Når en ansatt slutter å jobbe for selskapet, er det også viktig å ha rutiner på plass for å sikre at de ikke lenger har tilgang til selskapets systemer.
Behandlingsoperasjoner som er spesielt risikable i henhold til GDPR
Det er visse typer behandlingsoperasjoner som er spesielt risikable under GDPR. Når et foretak for eksempel behandler
- Fravær av ansatte på grunn av sykdom.
- Kompensasjon av ansatte.
- Opplysninger om arbeidstakernes fagforeningstilknytning.
- Informasjon som samles inn med det formål å spore de ansattes ytelse.
- Kontrollerer identiteten til ansatte gjennom ansiktsgjenkjenning eller andre biometriske data.
Utgangspunkt for sikringstiltak for behandling av personopplysninger
Rettslig grunnlag og databeskyttelsesprinsipper
Bedrifter må ha et lovlig grunnlag for hver enkelt behandling av personopplysninger. Det finnes totalt seks rettsgrunnlag. Disse inkluderer kontrakter med registrerte (artikkel 5 (1) (b) GDPR), juridisk forpliktelse (artikkel 5 (1) (c) GDPR) eller samtykke (artikkel 5 (1) (a) GDPR). I tillegg må selskapene overholde de syv grunnleggende databeskyttelsesprinsippene. Artikkel 5 i GDPR regulerer prinsippene. De gjennomsyrer hele GDPR og er viktige å kjenne som en kontroller eller prosessor.
Analyser gjenstanden for beskyttelse
Behandling av personopplysninger av et selskap medfører risiko for den registrerte. Først av alt må selskapet analysere beskyttelsesobjektet. Dette betyr at selskapet må vurdere hvilke personopplysninger de trenger å behandle og hvor sensitive de er. Dette må gjøres før behandlingen påbegynnes.
Analysere risikoer og tiltak
Etter å ha analysert beskyttelsesobjektet, må selskapet analysere risikoen ved behandlingen. I tillegg må selskapene analysere hvilke tiltak som skal iverksettes for å minimere risiko. I noen tilfeller må selskapene også gjennomføre konsekvensutredninger for visse typer behandling. Jo mer sensitive personopplysninger selskapene behandler, desto flere sikkerhetstiltak må de ha på plass. Dersom de registrerte er særlig sårbare på grunn av for eksempel alder eller helsetilstand, er kravene høyere.
Dokumenter alt sammen
I henhold til GDPR må selskaper kunne vise at de overholder GDPR i praksis. Dette kravet følger av prinsippet om ansvarlighet (artikkel 5 (2) GDPR), som er ett av syv prinsipper for databeskyttelse. Derfor er det viktig at selskapet dokumenterer alle handlinger, analyser, vurderinger, rutiner, innhenting av samtykke osv. Det er ikke de registrerte som trenger å bevise at selskapet bryter med GDPR.
Flere prinsipper
Prinsippet om ansvarlighet under GDPR
Bedrifter må kunne vise at de overholder GDPR i praksis. Dette betyr at det ikke er de registrerte eller tilsynsmyndigheten som må vise at selskapet bryter med GDPR. For eksempel må selskaper skrive avtalene og dokumentene som er nødvendige under GDPR, dokumentere behandlingen og overholde rettighetene til de registrerte, etc. Hvis et selskap bryter med GDPR, kan det få store økonomiske konsekvenser. I verste fall kan selskapene måtte betale en straff på flere millioner dollar. Artikkel 5(2) i GDPR regulerer prinsippet om ansvarlighet.