I hverdagen blir mange ansatte bedt om å dele personopplysninger med andre, uten å være klar over at det er personopplysninger det er snakk om. Med gode intensjoner om å være behjelpelig overfor kunder, kollegaer og forretningspartnere, deler ansatte ut andre personers personopplysninger uten å vite det. I dette blogginnlegget forklarer jeg deg hva en forespørsel om å få tilgang til personopplysninger er, hvem som bør få tilgang til personopplysninger og 4 konkrete anbefalinger for hvordan du kan forsikre deg om at du ikke deler personopplysninger med andre i strid med loven. Du er også velkommen til å prøve ut vårt kurs om deling av personopplysninger, som er utformet for å øke ansattes bevissthet om emnet.
Alle behandler personopplysninger
I disse dager behandler nesten alle slags organisasjoner personopplysninger. Det første steget mot å behandle personopplysninger på en trygg måte er å vite hva som klassifiseres som personopplysninger. De ansatte i organisasjonen din kan få en forespørsel om å oppgi personopplysninger som de behandler. Denne forespørselen kan komme fra personen opplysningene gjelder, fra tredjeparter eller til og med fra andre ansatte i organisasjonen.
Å gi ikke-autoriserte personer tilgang til personopplysninger, kan medføre alvorlige konsekvenser for organisasjonen din. Som dataansvarlig har du tross alt et juridisk og etisk ansvar for å beskytte personopplysningene som behandles. Det å kjenne til ditt ansvar som databehandler er helt nødvendig for trygg håndtering av personopplysninger. Likevel bærer dine ansatte også en veldig viktig del av dette ansvaret. Hva bør de ta hensyn til når de blir spurt om å utlevere personopplysninger, og hva kan du gjøre for at de håndterer slike situasjoner på en bedre måte?
Hva er en forespørsel om tilgang på personopplysninger?
Forespørsler om tilgang til personopplysninger kan høres veldig formelle ut, men det trenger de ikke være. Situasjoner som vi opplever i løpet av arbeidsdagen kan betraktes som forespørsler om utlevering av personopplysninger. Hva hvis en av kundene dine ringer deg og spør deg om hvilke opplysninger han eller hun er registrert med hos dere, slik at de kan sørge for at opplysningene er oppdaterte?
Eller forestill deg at du får en telefon fra en forretningspartner. Han sier at han forsøkte å få tak i kollegaen din angående en sak som haster, og spør deg om å sjekke kollegaen din sin kalender, slik at han kan ringe henne når hun er ledig.
Kan disse situasjonene betraktes som forespørsler om tilgang til personopplysninger?
Ja, absolutt!
Poenget er at hverdagslige stiuasjoner hvor du eller kollegaene dine ønsker å hjelpe en kunde eller kollega, kan føre til at dere gir bort personopplysninger i strid med loven.
Hvem bør få tilgang på personopplysninger?
De personene opplysningene angår har rett til å få tilgang på disse, så du må oppgi personopplysningene du har om dem, dersom de ber om dette.
Det kan også være andre som, vitende eller uvitende, ber deg om å oppgi personopplysninger. Uansett tilfelle må du være forsiktig, siden du som behandlingsanasvarlig har en plikt til å beskytte de personopplysningene du behandler.
Hva hvis personen som ber om tilgang til sine egne opplysninger, ikke er den personen han eller hun utgir seg for å være? Hva hvis kollegaen din har noe i kalenderen sin som kan betegnes som en personopplysning, og hun ikke vil at den eksterne forretningspartneren skal få vite denne?
Generelt sett er det to ting du må være sikker på
- Identiteten til personen som ber om opplysninger
- At personen som ber om å få utlevert opplysninger faktisk har rett til å få tilgang til de opplysningene det er snakk om
Hva du bør gjøre for å oppnå disse kravene, vil være situasjonsavhengig. For å bekrefte identiteten til noen som ringer deg, kan du for eksempel be personen kontakte deg gjennom en sikker e-post, eller simpelthen be dem vise ID. Når det gjelder retten til å få utlevert andres personopplysninger, er det stort sett kun personens verge eller noen med fullmakt som kan be om å få utlevert disse opplysningene.
Bevissthet og sikkerhet fremfor hjelpsomhet
Dine ansatte er førstelinjearbeidere når det gjelder å håndtere forespørsler om tilgang til personopplysninger. Det er de som til daglig håndterer situasjoner hvor de blir bedt om å gi ut personopplysninger.
De fleste lekkasjer av persondata skjer på grunn av ansattes gode intensjoner.
Disse gode intensjonene kan føre til at noen deler personopplysninger med ikke-autoriserte personer. Dette kan få alvorlige konsekvenser for personen opplysningene gjelder, den ansatte som oppga opplysningene, og bedriften, som er behandlingsansvarlig.
Det er ikke galt å være hjelpsom overfor andre, men dine ansatte bør prioritere sikkerhet fremfor hjelpsomhet.
- Sikkerhet = førsteprioritet
- Hjelpsomhet = andreprioritet
Husk at IT-kriminelle er klar over ansattes gode intensjoner og ønske om å hjelpe andre. De IT-kriminelle vil utnytte disse gode intensjonene for å ramme sine mål!
4 konkrete anbefalinger for utlevering av personopplysninger
Du bør sørge for at de ansatte har den kunnskapen og de verktøyene som trengs for å håndtere forespørsler om utlevering av personopplysninger. Det betyr at kollegaene dine bør kjenne til de juridiske kravene for behandling av personopplysninger, samt etterleve disse. Det krever også at teamet ditt har oppdatert kunnskap om prinsippene i personvernforordningen og hvordan man følger dem.
Vil du vite hvilket rettslig grunnlag du trenger for å behandle personopplysninger? Les innlegget vårt om rettslige grunnlag for behandling av personopplysninger.
Nå til den morsomme delen! Jeg begynte dette blogginnlegget med følgende spørsmål i tankene: Hvordan kan bedrifter sørge for at de ansatte er gode på å håndtere forespørsler om tilgang på personopplysninger, og hvordan kan ansatte bli trygge på å håndtere slike forespørsler? Her presenterer jeg fire konkrete anbefalinger som svar på disse spørsmålene.
1. Dine ansattes bevissthet er din beste venn
Når folk tenker på begrepene cybersikkerhet, IT-sikkerhet, informasjonssikkerhet og lignende, tenker de ofte på datamaskiner som kan bryte seg inn i nesten alle systemer i verden, eller kanskje en fyr i mørk hettegenser som sitter og taster hurtig på et keyboard foran en skjerm med grønn tekst på svart bakgrunn.
En slik Hollywood-inspirert forestilling av IT-sikkerhet trenger ikke være negativ, da det holder IT-sikkerhet på agendaen, men det overskygger noen av realitetene om hvordan informasjon, inkludert personopplysninger, kan beskyttes. IT-sikkerhet er et samspill mellom mennesker, prosesser og teknologi – det gjelder håndtering av forespørsler om overlevering av personopplysninger også.
Det første du bør gjøre for å håndtere forespørsler om tilgang på personopplysninger på en bedre måte, har å gjøre med det menneskelige aspektet av IT-sikkerhet, og er å sørge for at de ansatte er bevisste om utfordringen. Det er de som må håndtere forespørslene om tilgang på personopplysninger, og det er dermed de som enten vil «make it or break it»!
Gjør slik at de ansatte går fra å være en trussel mot bedriftens IT-sikkerhet til å være dens beste forsvar mot IT-kriminelle. Dette er også viktig når det gjelder å håndtere forespørsler om personopplysninger. Opplær de ansatte i hva personopplysninger er og hvordan de kan gjenkjenne situasjoner hvor de bør være ekstra forsiktige med å dele personopplysninger. Ansatte som er bevisste om hva de gjør, er kanskje ditt viktigste våpen mot IT-kriminelle!
2. Begrens de ansattes tilgang til personopplysninger
Hos CyberPilot sier vi alltid at det er mennesker – f.eks. de ansatte – som utgjør den viktigste delen av bedrifters IT-sikkerhet. Det betyr imidlertid ikke at du bør ignorere viktigheten av teknologi.
En måte å bruk teknologi på, for å hjelpe dine ansatte med å ikke gi ut personopplysninger ved et uhell, er å begrense deres tilgang til personopplysninger.
Hvorfor skal ansatte som ikke trenger visse opplysninger for å gjøre jobbene sine, ha tilgang til disse opplysningene?
Det er for eksempel kun de ansatte som jobber med visse kunder, som bør ha tilgang på informasjon om disse kundene. Hvis du sørger for dette, reduserer du sjansene for at de ansatte deler personopplysninger med ikke-autoriserte personer.
3. Lag retningslinjer for utlevering av personopplysninger
Nå har du investert i å gjøre dine ansatte bevisste på utfordringer med utlevering av personopplysninger, og du har lagt inn begrensninger i systemene dine som sikrer at ingen har tilgang på informasjon de ikke trenger.
Du har altså investert i mennesker og teknologi for å sørge for lovlig utlevering av personopplysninger. Det neste du burde fokusere på er prosesser.
Lag retningslinjer som veileder de ansatte i hva de bør ta hensyn tl og gjøre når de får forespørsler om utlevering av personopplysninger. Beskriv tydelig hvordan de ansatte bør handle. Du vil for eksempel kanskje basere retningslinjene på de to punktene jeg nevnte ovenfor: bekreftelse av identitet og retten til å få tilgang på personopplysninger.
I retningslinjene dine for utlevering av personopplysninger kan du inkludere eksempler på:
- Hva som kan regnes som personopplysninger
- Hvordan de ansatte kan bekrefte identiteten til de som kontakter dem
- Hvordan de ansatte kan avslå forespørsler om utlevering av personopplysninger, selv når personen som kommer med forespørselen er noen de kjenner veldig godt (f.eks. en forretningspartner)
- Hva de ansatte bør gjøre hvis de er i tvil om hvordan de skal håndtere en situasjon
4. Sørg for at de ansatte har noen å henvende seg til
Min siste anbefaling for å håndtere forespørsler om tilgang til personopplysninger er å ha en person eller en avdeling – f.eks. et personvernombud, en jurist, en dataansvarlig eller en juridisk avdeling – som kan hjelpe dine ansatte og veilede dem når de er i tvil.
Du kan tross alt ikke forvente at alle dine ansatte er eskperter i lovverk som GDPR. De burde bare være bevisst på problemet og ha noe praktisk kunnskap om hvordan man håndterer slike situasjoner i hverdagen. Når ekstraordinære hendelser inntreffer, bør de ha noen å søke hjelp hos.
Dette handler ikke bare om å utpeke en person eller en avdeling som de kan henvende seg til. Det handler også om kulturen i organisasjonen din. De ansatte må være villige til og trygge på å søke råd når de er i tvil om forespørsler om utlevering av personopplysninger. Tilsvarende må personvernombudet deres eller personen eller avdelingen som er ansvarlig for GDPR være villig til å hjelpe de ansatte.
Det å oppnå en slik kultur er lettere sagt enn gjort. For inspirasjon til hvordan du kan utvikle en sterk IT-sikkerhetskultur i din organisasjon, anbefaler jeg deg å ta en titt på vår guide til hvordan du skaper en sikkerhetskultur eller denne gratis e-boken som kollegaene mine i CyberPilot har skrevet.
Konklusjon: Det hele står og faller på de ansatte
Det er umulig å unngå å behandle personopplysninger i disse dager – det gjelder nesten alle slags organisasjoner. Dine ansatte vil ofte stå ovenfor situasjoner i løpet av arbeidsdagen hvor de blir bedt om å utlevere personopplysninger, enten det er av kollegaer, forretningspartnere eller kunder. Det er nødvendig at du opplærer dine ansatte i hvordan de skal håndtere slike forespørsler. Grunnen til det er at du som behandlingsansvarlig har et ansvar for å sørge for at personopplysninger ikke deles med ikke-autoriserte personer.
Den beste måten å utruste dine ansatte med den nødvendige kompetansen og opplæringen på er å ta i bruk et kontinuerlig treningsprogram for de ansatte. Det gjør det lettere for dem å huske hvor viktig det er å håndtere personopplysninger på en lovlig måte. Samtidig holder det rett håndtering av personopplysninger på agendaen. Totalt sett bidrar det til å oppnå en god sikkerhetskultur i bedriften din, i tillegg til etterlevelse av GDPR.
Hvis du fortsatt leser, er du sikkert interessert i å sørge for at personopplysninger håndteres og deles på rett måte i bedriften din. Vi i CyberPilot er spesialister på å tilby bevissthetstrening for ansatte. Akuratt nå kan du prøve bevissthetstreningen vår gratis, uten noen forpliktelser eller betaling. Jeg anbefaler deg spesielt å prøve ut kurset vårt om deling av personopplysninger og se om det er noe for din bedrift.
