GDPR
Lösenordsrutiner för medarbetarna
Vi lever i ett allt mer digitaliserat samhälle, där i princip alla medarbetare på företag behöver tillgång till olika system som kräver lösenord för åtkomst. Därför är det bra att ha lösenordsrutiner för medarbetarna, för att reglera lösenordshanteringen.
Syftet med att upprätta lösenordsrutiner för medarbetarna
Starka lösenord utgör en god grund för att skydda personuppgifterna som behandlas från obehörig åtkomst. Ofta anses starka lösenord vara den första försvarslinjen. Här är några syften med att upprätta lösenordsrutiner för medarbetarna:
- Säkerställa att alla medarbetares lösenord till företagets digitala system håller en hög nivå av säkerhet och kvalitet.
- Tydliggöra för alla medarbetare hur de ska hantera sina lösenord, så att risken för intrång minskar.
- Skydda företagets lösenordsskyddade system från att obehöriga ska komma åt innehållet.
- Hjälpa företaget att säkerställa efterlevnad av principen om integritet och konfidentialitet i artikel 5(1)(f) i GDPR.
Företag behöver förebygga personuppgiftsincidenter
Företag ska förebygga personuppgiftsincidenter genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Många dataintrång sker på grund av svag lösenordshantering. Därför är det bra att upprätta lösenordsrutiner för medarbetarna och se till att de använder starka lösenord. Dessutom bör företaget upprätta en övergripande lösenordspolicy.
Policy och rutin är inte samma sak
Det kan vara enkelt att blanda ihop skillnaden mellan en policy och rutin. En policy är ett övergripande styrdokument där företaget beskriver vad som gäller, målet, vilka principer de arbetar utefter och den strategiska riktningen. En rutin är istället instruktioner som beskriver hur medarbetarna ska göra praktiskt för att uppnå målen i policyn. Det kan vara lämpligt i vissa fall att ha flera rutiner för att följa en policy.
Hjälper medarbetare att veta hur de ska skydda sina konton i sin arbetsroll
Det är medarbetarna på företaget som arbetar med att behandla personuppgifter dagligen. Därför är det viktigt att de får rätt redskap för att kunna göra det i enlighet med GDPR. Till exempel bör arbetsgivaren ge dem lämplig information, såsom om korrekt lösenordshantering genom att upprätta skriftliga interna lösenordsrutiner för medarbetare.
Hantering av lösenord vid behandling av viktiga personuppgifter
Vid behandling av viktiga personuppgifter i digitala system, såsom känsliga personuppgifter eller andra integritetskänsliga personuppgifter, är det bra att antingen implementera inlogg genom tvåstegsautentisering eller biometriska uppgifter (exempelvis fingeravtryck eller ansiktsigenkänning).
Tvåstegsautentisering till system med känsliga personuppgifter
Det är bra för företag att ha tvåstegsautentisering vid inloggning till system som innehåller känsliga personuppgifter. Detsamma gäller om det behandlas andra integritetskänsliga personuppgifter i systemet. Exempel på tvåstegsautentisering är att det skickas en kod till användarens mobiltelefonnummer som är registrerat i systemet, när denne försöker logga in med ett lösenord. På så sätt kan det förebygga att någon obehörig, som kommer åt lösenordet, kommer in i systemet.
Inlogg med biometriska personuppgifter
Det kan vara lämpligt att ha inlogg via biometriska personuppgifter i vissa fall. Exempel på behandling av biometriska uppgifter är vid inlogg till system genom fingeravtryck, ansiktsigenkänning eller irisavläsning. Om den behöriga användaren måste använda en av sina biometriska personuppgifter för att logga in i systemet, är det svårt för obehöriga att få åtkomst till systemet. Observera att biometriska personuppgifter utgör känsliga personuppgifter enligt artikel 9 i GDPR.
Vad kan en lösenordsrutin innehålla?
Styrkekrav
Det är viktigt att inkludera styrkekrav för att medarbetarna enklare ska veta huruvida de har valt ett tillräckligt säkert lösenord eller inte. Till exempel att lösenorden ska omfatta minst 15 tecken, inkludera stora och små bokstäver, specialtecken m.m. Dessutom är det bra att förbjuda lösenord som är för enkla att gissa, och sådana som är kopplade till medarbetarens personliga information, såsom namn och födelsedatum.
Regler vid lösenordsbyte
Det är inte ovanligt med byte av lösenord och det är därför viktigt att reglera det. Exempelvis när lösenord ska bytas (såsom misstanke om exponering) och hur det ska uppdateras internt, så att övriga medarbetare som behöver tillgång till lösenordet, får det.
Förbud
Det är viktigt att tydliggöra vad som är förbjudet, så att det är enkelt för medarbetarna att förstå förbuden. Exempelvis att flera personer inte får använda samma konto eller dela ett användarkonto, om det inte uttryckligen godkänts av arbetsgivaren.
Tvåstegsautentisering
I vissa fall kan det vara bra att ha multifaktorautentisering, såsom vid inlogg till system med viktiga personuppgifter. Det är bra att tydliggöra när detta är lämpligt att aktivera. Observera att detta är en av de mest effektiva säkerhetsåtgärderna som företaget kan vidta för att skydda konton från att bli kapade.
Lagring och skydd
Det är viktigt att lagra personuppgifterna på ett tillräckligt säkert sätt. Exempelvis finns det olika digitala tjänster som erbjuder smidig lösenordshantering genom krypterade metoder. Tänk på att inte anteckna lösenord i kombination med användarnamn på oskyddade platser, post-it-lappar på kontoret eller liknande
Mobila enheter
Mobila enheter är vanligt förekommande på företag och det är inte ovanligt att de används för att behandla personuppgifter. Vid sådana fall är det viktigt att ha tillräckligt skydd. Biometrisk autentisering kan vara lämpligt, speciellt om det förekommer känsliga personuppgifter lagrade inom den mobila enheten (exempelvis en mobiltelefon eller bärbar arbetsdator).
Återställning
I vissa fall kan medarbetare behöva återställa sitt lösenord. Vid sådana fall är det bra att reglera hur identifiering sker och reglerna för att skicka återställningslänkar.
Misstanke om exponering
Det är viktigt att medarbetarna vet hur de ska agera vid eventuell misstanke om exponering av lösenord. Till exempel att de ska byta lösenord omedelbart, dokumentera det och, om möjligt, inkludera en beskrivning av hur exponeringen har kunnat ske, eftersom det kan hjälpa företaget att förebygga liknande händelser i framtiden.
Utbildning
Det är bra att klargöra i de interna lösenordsrutinerna att alla medarbetare ska vidta lämpliga åtgärder för att skydda sina lösenord. Dessutom är det bra att inkludera att nya medarbetare ska få utbildning vid onboardingprocessen. Exempelvis hur de ska förebygga att bli föremål för phishing-bedrägerier.
Mer info
Integritetspolicy är en annan policy som kan vara bra att upprätta
En integritetspolicy utgör ett internt styrdokument som hjälper medarbetarna på företaget veta hur de ska agera i enlighet med GDPR. Det är inte samma sak som ett integritetsmeddelande, som riktar sig externt till de registrerade. En integritetspolicy hjälper istället till att skapa en god struktur inom företagets dataskyddsarbetet, vilket kan hjälpa företaget och medarbetarna att följa reglerna i GDPR.