GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

GDPR - EU

Tekniska åtgärder som företaget kan vidta för att skydda personuppgifter

Företag måste enligt GDPR skydda personuppgifter som blir behandlade inom verksamheten. Detta kan ske genom att bland annat implementera lämpliga tekniska säkerhetsåtgärder. Nedan kan du läsa mer om några exempel på tekniska åtgärder företag kan implementera för att skydda personuppgifter. 

Krav att skydda personuppgifter

Det är ett krav enligt GDPR att företaget ska skydda de personuppgifter som företaget behandlar. Ju viktigare personuppgifter, desto högre skydd ska implementeras. Företaget behöver också vidta lämpliga tekniska åtgärder för att följa andra regler inom dataskydd och andra relevanta lagar. 

Till exempel ska det vara möjligt för den lämnar sitt samtycke att återkalla det på ett lika enkelt sätt som den givit det. Om den registrerade lämnat sitt samtycke genom att klicka på en knapp, ska det gå att återkalla samtycket på ett lika enkelt sätt. Detta innebär att företaget i detta fall behöver implementera en sådan teknisk möjlighet. 

Detta är idag en funktionalitet som ofta finns i cookie plugin, där webbplatsbesökaren kan välja att acceptera cookies, och därefter ångra sig genom att neka användningen av cookies via de knappval som finns i pluginet. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Här är exempel på några tekniska åtgärder som företaget kan vidta för att skydda personuppgifter i enlighet med GDPR

Observera att det finns många fler tekniska åtgärder än de som beskrivs nedan, som företag kan eller bör implementera, beroende på företagets verksamhet.

Autentisering

Det kan vara nödvändigt för ett företag att styrka identiteten hos en person som begär åtkomst till system som behandlar personuppgifter. 

Till exempel kan autentisering krävas innan en medarbetare får tillgång till viss känslig information, som är nödvändig för att denne ska kunna sköta sina arbetsuppgifter. Däremot är det inte alla medarbetare som automatiskt har åtkomst till den informationen. Vid sådana fall kan företaget genom viss teknik först behöva bekräfta medarbetarens identitet genom autentisering, innan åtkomsten ges. 

Ett annat exempel är om en person ska logga in på sin bank för att skicka pengar till någon. I och med att inloggningen sker på distans över internet, behöver banken implementera en autentiseringsmetod för att bekräfta identiteten hos den person som försöker att logga in i bankkontot.

Periodic penalty payments

Vanlig autentiseringsprocess

En vanlig autentiseringsprocess är att en person skapar ett användarkonto och lösenord som används för att logga in i ett system. Däremot är detta inte alltid tillräckligt. Det kan till exempel vara nödvändigt att ha en säkrare autentiseringsprocess, såsom att personen behöver logga in via både lösenord och fingeravtryck eller annan form av multifaktorautentisering, såsom SMS-kod som skickas till mobilnumret.

Säkerhetskopiering

Genom att säkerhetskopiera personuppgifter, kan företag återställa personuppgifter som blivit raderade eller ändrade olovligen. Dessutom kan det hjälpa företag att återhämta sig enklare från till exempel cyberattacker. Säkerhetskopiering kan ske med förinställda intervaller, exempelvis dagligen eller varje timme. 

Observera att det är viktigt att radera säkerhetskopiorna efter en viss tid, för att inte lagra fler personuppgifter än nödvändigt. Om en registrerad exempelvis begär att få sina personuppgifter raderade, måste man även komma ihåg att radera dem från eventuella säkerhetskopior. 

Säkerhetskopior bör förvaras säkert, avskilt från den dagliga behandlingen och åtkomsten till hantering av säkerhetskopior bör ges enbart till ett fåtal medarbetare.

Nätverkssegmentering

Det kan vara bra att dela upp datanätverk i olika delnätverk, även kallat för nätverkssegmentering. Syftet med att segmentera nätverk är att begränsa kommunikation mellan system, såsom datorer, servrar eller liknande, så att enbart information som är nödvändig flödar i det segmentet. Detta gör det bland annat enklare att förebygga att någon obehörig får åtkomst till personuppgifterna. 

En fördel med nätverkssegmentering är att det är möjligt att tilldela en användare åtkomst till endast en segmenterad del, istället för åtkomst till hela nätverket. Dessutom kan nätverkssegmentering öka prestandan för de tjänster som finns i segmentet, genom att det minskar risken för överbelastning i nätverket.

Kryptering

Kryptering av personuppgifter är en vanlig teknisk åtgärd för företag att vidta. Det innebär att en krypteringsnyckel, såsom en kod eller fingeravtryck tillsammans med en matematisk funktion, gör data läsbart. Har någon tillgång till enbart en av dem, är det därmed inte möjligt att avläsa informationen. Det är framförallt viktigt att implementera kryptering när personuppgifterna är extra skyddsvärda. 

Restrict or ban processing

Mejla inte lönespecifikationer med känsliga personuppgifter

Innan GDPR började gälla, var det vanligt för företag att skicka ut lönespecifikationer till anställda via e-post. Men ofta innehåller lönespecifikationer information om sjukfrånvaro, vilket är en uppgift om hälsa och därmed utgör det en känslig personuppgift enligt GDPR. Känsliga personuppgifter måste bli behandlade med högre säkerhet, och det är därför inte lämpligt att mejla sådana lönespecifikationer okrypterat.

Mer information om GDPR

Organisatoriska säkerhetsåtgärder

Företag behöver också vidta lämpliga organisatoriska säkerhetsåtgärder. Till exempel att erbjuda utbildning till medarbetare inom dataskydd, implementera behörighetsstyrning samt upprätta olika skriftliga rutiner samt instruktioner till medarbetare. 

Vill du lära dig mer?

Klicka här
Rulla till toppen