Siden persondataforordningens indførelse i maj 2018, har persondata været et populært buzzword. Jeres medarbejdere ved derfor godt, hvor vigtigt det er at håndtere persondata sikkert, men måske ikke hvordan man egentligt gør det? I vores tidligere blogpost ”Persondata for begyndere” fortalte vi lidt om, hvordan man sikkert håndterer persondata. I denne blogpost vil vi uddybe, hvad persondata er for noget. Vi vil komme ind på både persondata og følsomme persondata, og hvornår forskellige typer persondata blandes.
Hvorfor er persondata vigtigt?
Fordi GDPR blev introduceret i 2018. Siden er der kommet et større fokus på korrekt håndtering af persondata. Derudover er der også begyndt at blive givet bøder rundt omkring i Europa, hvis man ikke behandler data på lovlig vis. Bøderne kan ende med at blive helt op til 4% af virksomheders årlige indtjening. I Danmark har vi dog ikke set så store bøder endnu. Her fik ILVA den første GDPR-bøde i år.
Udover bøder, så kan forkert håndtering af persondata føre til identitetstyveri, krænkelse af personers privatliv og potentielt have negative konsekvenser for ens organisation som f.eks. dårligere omdømme.
Personoplysninger helt kort
Personoplysninger, eller persondata, kan helt kort forklares som oplysninger, der kan bruges til at identificere en specifik person. Det kan altså være informationer som f.eks. navn, adresse, nummerplade, en jobansøgning eller et billede af en tatovering. Det bliver derfor en meget bred betegnelse. Derfor er personoplysninger inddelt i to kategorier. De er enten almindelige eller følsomme personoplysninger.
Almindelige personoplysninger
Almindelige personoplysninger indeholder informationer, der kan bruges til at identificerer personer såsom:
-
Navn
-
Adresse
-
Mobilnummer
-
Fødselsdato
-
Beskæftigelse
Følsomme personoplysninger (særlige kategorier af personoplysninger)
Hvis en personoplysning kategoriseres som følsom, kræver persondataforordningen en langt strengere håndtering og derfor også en større konsekvens ved usikker håndtering. Derfor er det vigtigt at jeres medarbejdere kan identificere følsomme persondata og udvise ekstra forsigtighed. Alle følsomme persondata indgår under en af de følgende kategorier:
-
Race eller etnisk oprindelse
-
Politisk, religiøs eller filosofisk overbevisning
-
Fagforeningsmedlemsskab
-
Genetiske data/Biometriske data (F.eks. fingeraftryk)
-
Helbredsoplysninger
-
Seksuelle forhold/orientering
For mange vil disse kategorier virke åbenlyse, men på samme tid er der også overraskende eksempler, som f.eks. at et CPR-nummer ikke anses for at være følsom. CPR-nummeret hører til en tredje kategori nemlig fortrolige personoplysninger, som på trods af, at de ikke anses for at være følsomme persondata ofte har særskilte regler for, hvordan de skal behandles.
Blandede personoplysninger
Med to kategorier af persondata og en ekstra med særskilte regler kan det virke uoverskueligt at leve op til kravene i persondataforordningen. Ofte kan man dog, hvis man er god til at genkende følsomme persondata, hurtigt finde ud af hvordan oplysningerne skal behandles. Her kan man tage et CV som eksempel. Størstedelen af informationerne i et CV kan kategoriseres som almindelige personoplysninger. Dette er oplysninger som f.eks. navn, adresse, telefonnummer, alder, erhvervserfaring. På samme tid kan nogle uddannelses- og ansættelsesmæssige forhold også anses som fortrolige oplysninger. En huskeregel til jeres medarbejdere er, at man i en sådan situation skal starte med at lede efter følsomme persondata.
Hvis man finder bare et enkelt eksempel på en sådan information, skal hele CV’et behandles som følsomme persondata, og man undgår derved at skulle forholde sig til hver personoplysning for sig.
Håndtering af persondata
Alt efter hvilken kategori en personoplysning tilhører, indeholder persondataforordningen også regler for, i hvilke situationer de må behandles. I denne blogpost vil vi ikke gå i dybden med disse regler, men hvis du er interesseret, kan du læse meget mere om dem på Datatilsynets hjemmeside. Ansvaret for at disse regler følges ligger i udgangspunktet hos jeres organisations dataansvarlige. Det er derfor også den person, jeres medarbejdere skal spørge om råd, hvis de er i tvivl om, hvorvidt de må behandle en specifik personoplysning. Det kan dog være en god idé for alle at besøge Datatilsynets hjemmeside og læse reglerne. Både for at sikre, at man ikke selv bryder reglerne, men også så man kan genkende, hvis andre behandler ens persondata i en situation, hvor de ikke har ret til det.
3 simple huskeregler til din persondatahåndtering
Selvom det kan virke uoverskueligt at ændre på sine vaner og arbejdsrutiner kan man nå rigtig langt med tre simple huskeregler:
-
Vær bevidst om, hvornår du behandler almindelige eller følsomme persondata. Når det er følsomme persondata, bør du være særligt opmærksom
-
Er du i tvivl om, hvordan persondata skal håndteres i jeres organisation, så forhør dig hos den ansvarlige, f.eks. jeres DPO
Hvad kan jeg gøre?
Tekniske løsninger er vigtige for at løse udfordringer med IT, men det er ligeså vigtigt, at alle medarbejdere i ens organisation er opmærksom og behandler data ordentligt. Dit holds viden er essentielt for jeres informationssikkerhed. Du kan læse om hvordan din virksomhed overholder GDPR her.
Denne blog skal ses som en introduktion til, hvad persondata er, og hvorfor man skal være opmærksom på, hovrdan man håndterer det. Det er vigtigt, at alle i ens organisation er trykke ved at håndtere persondata, og ved hvor de kan spørge om hjælp, hvis de er i tvivl.
CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Vi har f.eks. flere kurser om persondata. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.
Hvis du er i tvivl om, hvad sammenhængen er mellem sikkerhedstiltag som ISO27001 og persondataforordningen, så kan du lære mere her.
