Organisatoriska åtgärder
Behörighetsstyrning är en viktig säkerhetsåtgärd enligt GDPR
När ett företag behandlar personuppgifter, är det sällan nödvändigt att alla medarbetare inom företaget ska ha tillgång till personuppgifterna. Därför är det viktigt att företaget implementerar behörighetsstyrning, för att säkerställa rätt personer får tillgång till dem. Detta innebär att företaget ska styra medarbetarnas åtkomsträttigheter inom företagets olika digitala system som används för behandling av personuppgifter.
Principen om åtkomst på en ”need to know-basis”
”Need to know-basis” är en princip som innebär att enbart den som behöver tillgång till personuppgifter inom en organisation för att kunna utföra sitt arbete, ska ha tillgång till dem. Det kan handla om åtkomst till olika dokument och register som innehåller personuppgifter. Eller åtkomsträttigheter till hela systemet.
Exempelvis innehåller ett ekonomisystem personuppgifter om både företagets personal och kunder. Såsom fakturor, löneunderlag etc. Det är ofta inte nödvändigt att alla i personalen har åtkomst till ekonomisystemet, utan istället kan det vara tillräckligt med att ett fåtal personer har det. Till exempelvis personalen som arbetar med just ekonomi- och bokföring inom företaget.
Skillnaden mellan behörighet och befogenhet
Behörighet och befogenhet är två viktiga begrepp inom juridiken, men det är många som blandar ihop dem. Dessa två begrepp är i GDPR-sammanhang centrala, och handlar om åtkomst till och hantering av personuppgifter inom en verksamhet. Dessa har särskilt att göra med medarbetarnas roller, samt vad de kan respektive får göra med personuppgifter.
Behörighet (Authorization)
Kort sagt avser detta vilken åtkomst en medarbetare har till personuppgifter. Detta avser därmed vilka personuppgifter medarbetaren tekniskt sätt kan komma åt. Bland annat handlar detta om vilken systemtillgång medarbetaren har, såsom inloggningsuppgifter och användarkonton till system som behandlar personuppgifter. Ett konkret exempel på när en medarbetare har behörighet till ett system är följande: Medarbetaren har behörighet att logga in i företagets CRM-system där personuppgifter tillhörande kunderna finns, genom att Bolagets VD har skapat ett användarkonto till systemet åt medarbetaren.
Befogenhet (Instruction/Permission)
Detta handlar om vad en medarbetare faktiskt har tillåtelse att göra med personuppgifterna. Det vill säga, den policy eller instruktion som styr hur personuppgifterna får bli behandlade av medarbetaren. Inklusive när och hur medarbetaren ska behandla personuppgifterna. Ett exempel på befogenhet är följande: Medarbetaren har behörighet att se alla kunders personuppgifter som förekommer i CRM-systemet. Däremot har arbetsgivaren givit tydliga instruktioner om att medarbetaren endast har befogenhet att behandla personuppgifter tillhörande de kunder som medarbetaren har sålt företagets produkter till. Medarbetaren har därmed inte befogenhet att behandla andra kunders personuppgifter, även om medarbetaren har behörighet att se dem i systemet.
Exempel på hur ett företag kan arbeta med behörighetsstyrning
Först och främst är det viktigt att analysera behovet för olika roller inom företaget. Det vill säga, ta reda på vilka medarbetare som behöver få tillgång till vilka personuppgifter, för att kunna utföra sina arbetsuppgifter.
Företag måste enligt GDPR kunna visa att de följer regelverket, i enlighet med principen ansvarsskyldighet som regleras i artikel 5.2 i GDPR. Därför är det bra att alltid dokumentera dataskyddsarbetet skriftligt. Dessutom kan det förenkla processen för medarbetarna om det finns tydlig dokumentation avseende vem som behöver tillgång till vilka personuppgifter.
Se till att styra åtkomstärittgheterna och behörigheten för olika användartyper, så att rätt personer får tillgång till rätt personuppgifter. Dessutom kan det vara bra att ha olika behörighetsnivåer. Exempelvis ska inte alla användare av ett system vara “Administratörer”. I vissa fall är det tillräckligt att ge “Läsbehörighet” och att ett fåtal har rättigheter att "redigera".
Den som arbetar med att styra behörigheter inom företaget, bör få skriftliga instruktioner på hur denne ska göra. Det bör också innehålla information om vad de olika behörigheterna innebär, för att säkerställa korrekt tilldelning av befogenheter och behörigheter. Det är också viktigt att ha rutin för att återkalla tilldelade åtkomsträttigheter. Exempelvis i samband med att en medarbetare avslutar sin anställning hos företaget.
Mer info om organisatoriska åtgärder
Utbildning för medarbetare inom GDPR och dataskydd i övrigt
Företag bör utbilda sin personal inom dataskydd, inklusive GDPR. Däremot behöver det inte innebära att alla medarbetare ska känna till varje regel i GDPR. Om ett företag har flera avdelningar, är det bra att utbilda personalen i varje avdelning om sådant som är relevant för just deras arbetsuppgifter. Dessutom bör företag erbjuda vidareutbildning till sitt dataskyddsombud, om de har ett. Anledningen till att utbildning är särskilt viktigt, är för att det i praktiken är medarbetarna som behandlar personuppgifter och om det inte sker korrekt, är det företaget som anses bryta mot GDPR.