GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

organisatorisk säkerhetsåtgärder

Clean-desk rutin som organisatorisk säkerhetsåtgärd

För att minska risken av att exponera personuppgifter i onödan, är det bra att införa en clean-desk rutin som organisatorisk säkerhetsåtgärd. 

Vad innebär en Clean-desk rutin?

En clean-desk rutin är en organisatorisk säkerhetsåtgärd som många företag bör vidta. Det är enkelt men kan ha en stor betydelse. Kort sagt handlar det om att se till att material som innehåller personuppgifter eller annan känslig information inte ligger framme för vem som helst att se. Det kan handla om fysisk information, men också digital information. 

Vilka delar av GDPR en clean-desk rutin kan hjälpa företag att följa

  • Skydda personuppgifter mot obehörig åtkomst i enlighet med principen om integritet och konfidentialitet. 
  • Minskar risken för oavsiktliga dataläckor.
  • Hjälper företaget att kunna visa att de följer GDPR i enlighet med principen om ansvarsskyldighet.
What breaches of the GDPR can lead to an administrative fine?

När är det särskilt viktigt med clean-desk rutiner?

  • Co-working-miljöer. 
  • Kontor som får mycket besök. 
  • Ekonomiavdelningar. 
  • HR-avledningar. 
  • Om en verksamhet behandlar känsliga personuppgifter. 
  • Distansarbete i en miljö som är offentlig. 
  • Om arbetsplatsen är nära ett fönster som personer passerar.

Definition av personuppgiftsincident

Om en händelse inträffar, som leder till olaglig eller oavsiktligt förlust, ändring, förstöring, obehörig åtkomst till eller obehörigt röjande av personuppgifter, utgör det en personuppgiftsincident. En personuppgiftsincident är en säkerhetsincident. Det har ingen betydelse om det har skett med avsikt eller inte. Personuppgiftsincidenter kan leda till allvarliga konsekvenser för de registrerade därför är det viktigt att förebygga det. Dessutom ska vissa personuppgiftsincidenter bli rapporterade till de registrerade som har blivit drabbade samt den nationella dataskyddsmyndigheten. 

Många personuppgiftsincidenter sker av enkla misstag

Det är bra att veta att många personuppgiftsincidenter sker av enkla misstag, inte cyberattacker. En väldigt vanlig personuppgiftsincident är mejl som innehåller personuppgifter och skickas till fel mottagare. 

Fysisk clean-desk rutin

Om medarbetarna på ett kontor har papper på sina arbetsbord som innehåller personuppgifter, exempelvis om kunder, och någon besökare går förbi och ser eller kan se personuppgifterna, är det en personuppgiftsincident. Därför bör arbetstagarna undvika att ha papper med personuppgifter öppna på arbetsbordet.

What is the definition of anonymised data?

Digital clean-desk rutin

Ett annat exempel är om arbetstagarna har dokument på sina arbetsdatorer uppe när de exempelvis lämnar skrivbordet för att hämta kaffe, vilket ökar risken för exponering och en personuppgiftsincident. Därför bör arbetstagarna ha skärmlås på sina datorer, och det kan vara bra att ha ett skärmskydd så att förbipasserande inte kan se innehållet på skärmen från sidan. Dessutom bör arbetstagarna stänga ner sina öppna dokument, om de lämnar sin arbetsplats av någon anledning.

Vilka regler kan en clean-desk rutin innehålla?

Rensa skrivbordet dagligen

Lämna inte fysiska dokument, lappar eller anteckningar med personuppgifter eller annan känslig information på skrivbordet vid slutet av arbetsdagen. Detsamma gäller att stänga ner alla digitala dokument på datorn och stänga av den.

Lås förvaringsutrymmen

Se till att förvaringsutrymmen, både fysiska och digitala, är låsta när de inte används

Använd maskiner som förstör dokument

Vissa dokument kan vara bra att förstöra och det är bra att göra det med dokumentförstörare. Med andra ord en maskin som förstör dokument, istället för att slänga dokumentet direkt i papperskorgen.

Lösenordsskydda datorn

Se till att alltid lösenordsskydda datorn, så att ingen obehörig kan logga in på den.

Förvara bärbara enheter säkert

Tänk på att alla bärbara enheter ska vara förvarade på ett säkert sätt. Exempelvis bärbara datorer, mobiler och surfplattor som används i arbetet.

Rensa tillfälliga anteckningar

Tillfälliga anteckningar, såsom post it-lappar med personuppgifter som medarbetare använder i sitt arbete och därför har på sitt arbetsbord, ska rensas bort när de inte längre behövs.

Undvik personuppgifter på whiteboards

Om företaget använder whiteboards och noterar personuppgifter där, är det viktigt att inte obehöriga ser det. Exempelvis är det vanligt att nyttja whiteboards i konferensrum som kan bokas av olika personer. Därför bör man inte notera personuppgifter där, eller ta bort dem direkt efter mötet.

Ha inte namnlistor liggande offentligt

Ett vanligt misstag är att ha namnlistor liggande offentligt för besökare, utan rättslig grund för behandlingen. Det kan vara fysiskt eller digitalt där besökarna kan se alla namn på listan.

Glöm inte utskrifter kvar i skrivaren

Det är bra att ständigt kontrollera utskrifter i en skrivare, eftersom det händer att man glömmer dokument där.

Viktiga saker att tänka på för att en clean-desk rutin ska fungera i praktiken

Ta fram en skriftlig policy

Det första steget är att ta fram en skriftlig policy. Där kan företaget beskriva bland annat hur arbetsborden ska se ut, vilken information som medarbetarna inte ska lämna framme, och vad de ska tänka på för en clean-desk.

What is the definition of anonymised data?

Information och utbildning

Det är viktigt att informera medarbetarna och ge dem relevant utbildning, för att de i praktiken ska kunna utföra det som står i policyn.

Sensitive personal data according to GDPR

Se till att clean-desk är inkluderat i onboarding

Informationen och utbildningen om företagets interna rutiner om GDPR-efterlevnad bör ges i samband med onboarding-processen. Det vill säga, i samband med introduktionen av nyanställda.

Subjektivt integritetskänsliga personuppgifter

Anpassa arbetsplatsen för att möjliggöra det i praktiken

För att medarbetarna ska kunna ha en clean-desk är det viktigt att ge dem möjligheterna. Exempelvis bör företaget köpa dokumentskåp som är säkra och går att låsa, dokumentförstörare om det är nödvändigt, skärmskydd och liknande.

Measures that companies need to take to comply with GDPR

Gör stickprov

För att säkerställa att personalen följer det som står i clean-desk rutinen, är det bra att göra stickprover regelbundet.

What is the definition of anonymised data?

Klassa brott mot rutinen som en intern incident

Det kan vara bra för företag att rapportera interna brott mot rutinen, även fast det inte nödvändigtvis inträffat någon personuppgiftsincident. Syftet bör vara att företaget ska kunna förbättra sitt arbete med avseende på detta.

Mer om GDPR

Regelbunden revision

En annan bra organisatorisk säkerhetsåtgärd som företag bör vidta är att utföra regelbunden revision av olika områden. Ofta sker det internt, men i vissa fall kan det vara lämpligt att anlita en extern part. Exempelvis om det gäller behandlingar med hög risk och det är viktigt med ett objektivt perspektiv. Genom att göra regelbundna interna revisioner av GDPR-efterlevnad blir det enklare att hitta brister och förbättringsmöjligheter innan det leder till någon allvarlig konsekvens. 

Vill du lära dig mer?

Klicka här
Rulla till toppen