Contact us: +47 35 68 88 99
Norsk

Hvem Bør Ha Tilgang Til Personopplysninger? 4 Konkrete Anbefalinger

Ismail Özkan
By: Ismail Özkan GDPR | 13 desember

I hverdagslige situasjoner blir mange ansatte bedt om å gi tilgang til personopplysninger, uten å engang merke det. Med gode intensjoner om å være behjelpelig mot kunder, kollegaer og forretningspartnere, gir ansatte faktisk tilgang til personopplysninger om andre. I dette blogginnlegget tar jeg for meg hva en forespørsel om tilgang til personopplysninger er, hvem som bør ha tilgang til personopplysninger og 4 konkrete anbefalinger du kan iverksette for å sørge for at dine ansatte ikke gir feil tilgang til andres personopplysninger.

Alle behandler personopplysninger

I disse dager behandler nesten alle slags organisasjoner personopplysninger. Dine ansatte kan bli bedt om å oppgi personopplysninger som de behandler – uten å vite det. Et slikt forespørsel kan komme fra personen opplysningene gjelder, fra tredjeparter eller til og med andre ansatte i din organisasjon.

Å gi ikke-autoriserte personer tilgang til opplysningene som du behandler, kan ha seriøse konsekvenser for din organisasjon. Til syvende og sist er det du, som behandlingsansvarlig, som har det juridiske og etiske ansvaret for å beskytte de opplysningene du behandler. En viktig del av å bære på dette ansvaret, ligger hos dine ansatte. Hva bør de tenke når du blir bedt om å gi ut personopplysninger? Og hva kan du gjøre for at dine ansatte håndterer slike situasjoner bedre?

Hva er en forespørsel om tilgang til personopplysninger?

En forespørsel om tilgang til persondata høres som en veldig formell sak – men det trenger den ikke å være. Hverdagslige situasjoner som vi opplever i løpet av en jobbdag, kan også bli betraktet som forespørsler om tilgang til personopplysninger. For eksempel, hva om en av kundene dine ringer deg og spør deg om hvilke detaljer hun er registrert med hos dere, slik at hun kan sørge for at opplysningene er oppdaterte?

Eller tenk at du får en telefon fra en forretningspartner som sier at han forsøkte å få tak i din kollega angående en sak som haster, og spør deg om du kan sjekke kalenderen til din kollega om når hun er fri, slik at han kan ringe din kollega senere?

Kan disse situasjonene betegnes som forespørsler om tilgang til personopplysninger?

Ja, absolutt!

Poenget er at hverdagslige situasjoner hvor du ønsker å være behjelpelig mot en kunde eller dine kollegaer, kan også føre til at du havner i en situasjon hvor du på ulovlig vis gir ut personopplysninger.

Hvem bør ha tilgang til personopplysninger?

De personene opplysningene angår, har rett til å få tilgang til sine opplysninger – så du må gi opplysningene som du har om noen, hvis de spør deg.

Men utover det kan det være andre personer som ber deg om å gi ut opplysninger. Og her må du være forsiktig, fordi du som behandlingsansvarlig eller databehandler har en plikt til å beskytte de opplysningene som du behandler.

Hva om personen som ber om tilgang til sine egne opplysninger, ikke er den personen han eller hun oppgir å være? Hva om din kollega har noe i kalenderen som kan betegnes som en personopplysning, og noe som hun ikke vil at den eksterne forretningspartneren skal få vite om?

Generelt, er det to ting du må være sikker på når du blir bedt om å gi ut personopplysninger:

  1. Identiteten til personen som ber om opplysninger

  2. At personen som ber om å få utlevert opplysninger faktisk har rett til å få tilgang til de opplysningene det er snakk om.

Hvordan du sørger for å oppfylle disse kravene vil varierer fra situasjon til situasjon. For eksempel kan du be personen som ønsker å få utlevert opplysninger om seg selv å kontakte deg gjennom en sikker e-post, eller enkelt og greit møte opp fysisk hvor han eller hun kan vise fram en ID. Når det gjelder rett til tilgang til personopplysninger om andre mennesker, er det vanligvis kun deres forsvarer eller en med fullmakt som kan be om å få utlevert opplysninger.

Bevissthet og sikkerhet fremfor hjelpsomhet

Dine ansatte er førstelinjearbeidere når det kommer til forespørsler om tilgang til personopplysninger. Det er de som til daglig håndterer situasjoner hvor de blir bedt om å gi ut personopplysninger.

De fleste datalekkasjer skjer faktisk på grunn av ansattes gode intensjoner.

Disse gode intensjonene kan føre til at noen får tilgang til personopplysninger som de ikke er autorisert til å få, og dette kan igjen føre til seriøse konsekvenser for personen opplysningene handler om, den ansatte som gav ut opplysningene og også organisasjonen som er behandlingsansvarlig.

Det er ikke noe dumt i å være hjelpsom, men dine ansatte bør prioritere sikkerhet fremfor hjelpsomhet. En enkel tommelfingerregel du kan fortelle dine ansatte er:

  • Sikkerhet = 1. prioritet

  • Hjelpsomhet = 2. prioritet

Husk at cyberkriminelle er klar over ansattes gode intensjoner om å hjelpe andre – og det bruker de gjerne for å ta sine mål!

4 konkrete anbefalinger for å håndtere tilgang til personopplysninger

Du bør sørge for at dine ansatte har den riktige kompetansen og verktøyene for å håndtere forespørsler om tilgang til personopplysninger, samt for å etterleve de rettslige kravene i forbindelse med databeskyttelse.

Lurer du på hva hvilke rettslige grunnlag du kan ha for å behandle personopplysninger? Les vårt innlegg om rettslige grunnlag for databehandling her.

Så nå kommer den morsomme delen. Jeg begynte dette blogginnlegget med følgende spørsmål i bakhodet: Hvordan kan organisasjoner sørge for at deres ansatte er god til håndtere forespørsler om tilgang til personopplysninger, og hvordan kan de ansatte være komfortabel med dette? Her presenterer jeg fire anbefalinger for å svare på dette spørsmålet:

1. Dine ansattes bevissthet er din beste venn

Når folk tenker på begreper som cybersikkerhet, IT-sikkerhet eller informasjonssikkerhet, tenker mange på superdatamaskiner som med et klikk bryter seg inn på hvilket som helst system, eller på ondsinnede personer som sitter foran en PC-skjerm i et mørkt rom og trykker stadig på noen taster på tastaturet og på glidende grønn tekst på en sort bakgrunn.

En slik Hollywood-inspirert framstilling av cybersikkerhet er ikke nødvendigvis noe negativt, fordi den hjelper faktisk med å holde cybersikkerhet på agendaen. Likevel legger en slik framstilling skygge over noe av realiteten når det kommer til hvordan informasjon, inkludert personopplysninger, bør beskyttes. Cybersikkerhet handler om et samspill mellom mennesker, prosesser og teknologi – og det gjelder også forespørsler om tilgang til personopplysninger.

Det første du må gjøre for å håndtere forespørsler om tilgang til personopplysninger på en bedre måte, handler om det menneskelige ved cybersikkerhet. Det er å gjøre dine ansatte bevisste på utfordringer rundt personopplysninger. Det er dine ansatte som daglig må håndtere forespørsler om tilgang til personopplysninger og det er dermed de som skal enten «make it» eller «brake it».

Gjør om dine ansatte fra å utgjøre en trussel for cybersikkerheten din til å være det beste forsvaret mot cyberkriminelle – også når det gjelder utlevering av personopplysninger. Gi dem opplæring i hva personopplysninger er og hvordan de kan gjenkjenne situasjoner hvor de må være varsomme med å gi ut personopplysninger. Ansatte som er bevisste på hva de gjør, er kanskje ditt viktigste verktøy mot cyberkriminelle.

2. Begrens ansattes tilgang til personopplysninger

Hos CyberPilot sier vi alltid at det er mennesker – f.eks. ansatte – som utgjør den viktigste delen av cybersikkerheten i en organisasjon. Det betyr dermed ikke at du skal undervurdere viktigheten av teknologi.

En måte å bruke teknologi på, for å hjelpe dine ansatte med å ikke gi ut personopplysninger ved et uhell, er å begrense deres tilgang til personopplysninger. Du kan for eksempel gjøre dette ved å sette tilgangsbegrensninger til spesifikke mapper i din fellesmappe.

Hvorfor bør ansatte som ikke trenger en viss informasjon til å gjøre jobben sin, ha tilgang til den informasjonen i det hele tatt?

For eksempel bør kun ansatte som jobber med spesifikke kunder ha tilgang til opplysninger om de kundene. På denne måten minsker du sjansene for at dine ansatte, uvitende, gir ut personopplysninger som du er ansvarlig for til ikke-autoriserte tredjeparter.

3. Lag retningslinjer for utlevering av personopplysninger

Nå har du investert i å gjøre dine ansatte bevisste på utfordringene rundt utlevering av personopplysninger og du har lagt inn begrensninger i dine systemer slik at kun de som trenger å tilgang til visse opplysninger har tilgang til dem.

Du har altså investert i de menneskelige og teknologiske delene i det å sørge for lovlig utlevering av personopplysninger. Den neste delen som du bør fokusere på er – you guessed it – dine prosesser.

Lag retningslinjer for dine ansatte som veileder dem om hva de bør tenke på og hva de bør gjøre når de står ovenfor situasjoner hvor de må utlevere personopplysninger. By på klare fremgangsmåter som dine ansatte kan følge. Du kan for eksempel basere disse retningslinjene på de to punktene jeg nevnte tidligere – bekreftelse av identitet og rett til tilgang til personopplysninger.

I dine retningslinjer for å (ikke) utlevere personopplysninger, kan du for eksempel inkludere:

  • Hva som kan betraktes som personopplysninger

  • Hvordan dine ansatte kan bekrefte identiteten til en som kontakter dem.

  • Hvordan de kan avslå en forespørsel om å gi ut personopplysninger på i hverdagssituasjoner, selv når personen som spør om tilgang til opplysningene er noen de kjenner veldig godt (f.eks. en forretningspartner)

  • Hva dine ansatte bør gjøre om de er i tvil.

4. Sørg for at dine ansatte har noen de kan henvende seg til

Min siste anbefaling for å håndtere forespørsler om tilgang til personopplysninger er å ha en person eller en avdeling – som f.eks. et personvernombud, en jurist, en data-ansvarlig eller en juridisk avdeling – som kan hjelpe dine ansatte og veilede dem når de er i tvil.

Tross alt, du kan jo ikke forvente dine ansatte i å bli eksperter på lovverk som GDPR. De bør kun være bevisste på utfordringene og ha noe praktisk kunnskap som de kan bruke i hverdagen. Når ekstraordinære situasjoner oppstår, bør de ha noen de kan henvende seg til.

Dette handler ikke bare om å peke på en person eller avdeling som dine ansatte kan henvende seg til. Det handler egentlig om kulturen i din organisasjon. Dine ansatte må være trygg på og motivert til å spørre om hjelp når de er i tvil om saker rundt utlevering av personopplysninger. På samme måte må ditt personvernombud eller ansvarlig avdeling være villig til å hjelpe ansatte som henvender seg til dem.

Å få til en slik kultur er lettere sagt enn gjort. For inspirasjon om hvordan du kan utvikle en cybersikkerhetskultur i din organisasjon, anbefaler jeg å ta en titt på  denne gratis e-boken som mine kollegaer i CyberPilot har skrevet.

Smart CTA_e-book NO

Konklusjon: Det hele koker ned til dine ansatte

Det er umulig å unngå å behandle personopplysninger i disse dager, og det gjelder for nesten alle typer organisasjoner og bedrifter. I hverdagslige situasjoner vil dine ansatte bli spurt om å gi ut personopplysninger fra deres kollegaer, forretningspartnere eller kunder. Det er dermed veldig viktig at du trener dine ansatte i hva de må gjøre når de står ovenfor slike situasjoner. Dette fordi du som behandlingsansvarlig har ansvaret i å sørge for at personopplysninger ikke blir gitt ut til ikke-autoriserte personer.

Den beste måten å løfte opp dine ansattes kunnskap på er å følge en kontinuerlig opplæringsplan for dine ansatte. Et slikt program hjelper dine ansatte å huske hvor viktig det er å behandle personopplysninger på en lovlig måte, holder riktig behandling av persondata på agendaen og minst like viktig, bidrar et slikt program til å opprette en sikkerhetskultur i din organisasjon.

Dersom du fortsatt leser, er du sannsynligvis interessert i å sørge for riktig behandling av personopplysninger i din organisasjon og håndtering av forespørsler om utlevering av persondata. I CyberPilot har vi spesialisert oss på å bevissthetsprogrammer for ansatte. Akkurat nå kan du prøve vår bevissthetstrening helt gratis  – uten noen forpliktelser eller kjøp. Jeg vil absolutt anbefale å prøve det ut og se hvordan det føles i din organisasjon.