GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

EU - GDPR

Kryptering av personuppgifter

Kryptering av personuppgifter är både en vanlig och bra teknisk säkerhetsåtgärd att vidta för att skydda personuppgifter. Ett företag behöver inte bara använda kryptering i samband med lagring av personuppgifter, utan det kan vara bra att använda vid överföring av personuppgifter också. 

Vad kryptering innebär

Kort sagt innebär kryptering att det omvandlar läsbar data till en form av förvrängd text. En sådan förvrängd text kan därefter enbart avkodas genom en hemlig nyckel som gör texten läsbar igen. Den hemliga nyckeln kan exempelvis bestå av en sifferkombination som blir skapad på enheten krypteringen skickas från, samt på den enhet krypterade meddelandet skickas till. 

Kryptering av personuppgifter är bra teknisk åtgärd att vidta

När en matematisk funktion tillsammans med en krypteringsnyckel omvandlar datan så att den blir läsbar, utgör det en kryptering. Med andra ord är den krypterade datan inte läsbar om man bara har krypteringsnyckeln eller funktionen. 

Det är bra om företaget använder kryptering som teknisk säkerhetsåtgärd när företaget skickar personuppgifter via öppna nätverk, såsom internet. Ett exempel på detta är att skicka krypterade e-postmeddelanden.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Lönespecifikationer med känsliga personuppgifter

Det är vanligt att lönespecifikationer innehåller information om den anställdes sjukfrånvaro, vilket är en uppgift om hälsa och därmed en känslig personuppgift enligt GDPR. Om lönespecifikationen innehåller information om sjukfrånvaro är det inte tillåtet att mejla lönespecifikationen till medarbetarna, om meddelandet inte är krypterat. Innan GDPR trädde i kraft 2018, var det vanligt för arbetsgivare att mejla lönespecifikationer okrypterat, men det är inte längre tillåtet eftersom det inte är tillräckligt säkert. 

Företag ska skydda personuppgifter från obehörig åtkomst

Ett företag ska skydda personuppgifter från obehörig åtkomst, eftersom det utgör en personuppgiftsincident. Bara för att ett företag får behandla personuppgifter, behöver det inte innebära att det är nödvändigt för alla på företaget att ha tillgång till dem. Vid sådana fall kan det vara bra att använda krypteringsnycklar, så att enbart de medarbetare som ska och har behov av att få tillgång till personuppgifter, får det. 

Tips vid kryptering av personuppgifter

An administrative fine

Behovsanalys

Genom att göra en behovsanalys, kan företaget ta reda på till exempel vilka personuppgifter och i vilka situationer som det är lämpligt med kryptering. Det är också bra att analysera vilken form av krypteringstjänster som är lämpliga i fallet, såsom till exempel en molntjänst.

Dokumentation

Företaget bör dokumentera hela analysen eftersom det är ett sätt att visa att företaget följer GDPR i enlighet med principen om ansvarsskyldighet. Det är speciellt viktigt om personuppgifterna är extra skyddsvärda, såsom integritetskänsliga personuppgifter.

Order the company to comply with GDPR within a certain period of time

Instruktioner

Det är viktigt att de som får en krypteringsnyckel också vet hur de ska använda den, vad de får göra med personuppgifterna osv. Därför är det bra att upprätta skriftliga instruktioner till medarbetarna om kryptering och krypterad data.

Restrict or ban processing

Säkerhet

Se till att krypteringstjänsten är tillräckligt säker genom att göra en ordentlig research. Det är bra att använda en krypteringstjänst som är allmänt erkänd. Dessutom är det viktigt att skydda krypteringsnycklarna så att inga obehöriga får tillgång till dem.

It may be possible for data subjects to claim damages

End to end kryptering

End-to-end kryptering innebär att personuppgifterna blir överförda krypterat hela vägen till mottagaren från avsändaren. Det är extra viktigt när personuppgifterna är klassificerade som känsliga enligt artikel 9 i GDPR. Däremot kan det vara bra att göra även om det avser integritetskänsliga personuppgifter.

Mer information om GDPR

Nätverkssegmentering

Ett sätt att skydda personuppgifter från att obehöriga får tillgång till dem, är genom nätverkssegmentering. Med andra ord att dela upp datanätverk i flera delnätverk, så att enbart det som är nödvändigt finns i det segmentet. Enkelt sagt innebär detta att till exempel system eller servrar som inte behöver kommunicera med varandra, inte gör det. 

Vill du lära dig mer?

Klicka här
Rulla till toppen