Ordet “personopplysninger” har blitt enda mer populært siden personvernforordningen (GDPR) trådte i kraft i sommer 2018. Dine ansatte er sannsynligvis klar over at det er viktig å håndtere personopplysninger på en sikker måte, men de vet kanskje ikke hvordan de skal gjøre det.
I dette innlegget skal se nærmere på hva personopplysninger egentlig er i GDPR og på forskjellene mellom alminnelige personopplysninger og sensitive personopplysninger. I tillegg skal vi gi deg konkrete tips om hvordan du kan håndtere personopplysninger i samsvar med GDPR (personvernforordningen).
Hvorfor er dette så viktig?
Det har nå gått en stund siden personvernforordningen (GDPR) trådte i kraft, og det er derfor økt fokus på å fange opp feil behandling av personopplysninger. Det samme gjelder for personvern-relaterte bøter og deres sum, som kan være så høy som 4% av bedriftens globlae inntekter. Videre kan manglende sikker behandling av oersibdata også føre til identitetstyveri, økonomisk svindel, krenkelse av personvern og andre store konsekvenser for din virksomhet.
Personopplysninger i et nøtteskall
Personopplysninger kan kort beskrives som informasjon som kan bli brukt til å identifisere en spesifikt person. Det inkluderer for eksempel informasjon som navn, adresse, hårfarge, en jobbsøknad eller et bilde av en tatovering – personopplysninger er altså et veldig omfattende begrep. Derfor skiller man også gjerne mellom generelle og sensitive personopplysninger.
Alminnelige personopplysninger
Generelle eller alminnelige personopplysninger er for eksempel informasjon som identifiserer en person, som:
-
Navn
-
Adresse
-
Telefonnummer
-
Fødselsdato
-
Stilling
Sensitive personopplysninger
Dersom personopplysninger er kategorisert som sensitive, krever personvernforordningen (GDPR) en mye strengere håndtering. Dette fordi upassende håndtering av slike opplysninger kan ha betydelige konsekvenser. Det er dermed viktig at dine ansatte er i stand til å identifisere sensitive personopplysninger, og å vise ekstra aktsomhet når de håndterer det. De fleste sensitive personopplysninger kan klassifiseres i en av følgende kategorier:
-
Rase eller etnisk opprinnelse
-
Politisk, religiøs eller filosofisk tro
-
Fagforeningsmedlemskap
-
Genetiske eller biologiske data (f.eks. fingeravtrykk)
-
Helseopplysninger
-
Seksuelle forhold eller legning
For de fleste kan disse virke som en selvfølge, men det er også noen overraskende eksempler. Et personnnummer for eksempel, vurderes ikke som sensitivt. Dette fordi personnummer tilhærer en tredje kategori – konfidensielle personopplysninger. Selv om slike opplysninger ikke regnes som sensitive, stiller enkelte land særskilte kriterier for håndtering av disse. Hvis du vil vite mer om hvordan din bedrift kan bli compliant med GDPR kan du lese mer her.
Dokumenter med blandede personopplysninger
Kravene i personvernforordningen kan virke uklare hvis du, for eksempel, mottar et dokument som inneholder både generelle, sensitive og konfidensielle opplysninger. Hvis du er flink til å kjenne igjen sensitive personopplysninger, finner du vanligvis raskt ut hvordan du behandler personopplysninger. Ta for eksempel en CV. Mesteparten av informasjonen i en CV kan kategoriseres som generelle personopplysninger, som navn, adresse, telefonnummer, alder og jobberfaring. Samtidig kan noe av utdanning- og jobberfaringen klassifiseres som konfidensiell informasjon. En tommelfingerregel for dine ansatte er at de bør først starte med å identifisere sensitive personopplysninger i slike situasjoner. Dersom du finner én opplysning som kan kategoriseres som sensitiv, må hele dokumentet behandles som sensitive personopplysninger. Dette gjør at man unngår å måtte behandle hver del separat.
Håndteringen av personopplysninger
Avhengig av hvilken kategori personopplysningene tilhører, stiller personvernforordningen egne regler for hvordan de skal behandles i ulike situasjoner. Dersom innhenting og behandling av personopplysninger er en del av din jobb, må du også ha en forståelse av konteksten og ha et rettslig grunnlag for behandling av personopplysninger. Bevissthet om disse faktorene vil hjelpe deg med å sørge for at du ikke handler i strid med loven, og at din organisasjon har lov til å behandle personopplysninger.
Tips for å behandle personopplysninger
Selv om det å endre dine rutiner og vaner høres som en omfattende oppgave, kan du likevel komme langt med å følge disse tre punktene:
Hva kan jeg gjøre?
Tekniske løsninger er viktig for å håndtere IT-sikkerheten, men minst like viktig er mennesker i din organisasjon. Dine ansattes bevissthet om trygg behandling av personopplysninger, deres kunnskaper og aktsomhet er avgjørende for informasjonssikkerheten.
I dette innlegget har vi gitt deg innsikt i hva personopplysninger er og hvorfor du bør være forsiktig når du behandler dem. Men når det gjelder å behandle personopplysninger er det ikke nok at bare en person i virksomheten din vet hvordan det skal gjøres. Alle i virksomheten din bør være komfortabel med å behandle personopplysninger på riktig måte, slik at virksomheten kan unngå heftige bøter.
I CyberPilot tilbyr vi bevissthetstrening og nettkurs hvor dine ansatte kan lære om hvordan de kan håndtere personopplysninger på riktig måte. Bevissthetstrening er også en god måte å oppnå etterlevelse av kravene i personvernforordningen og å opprette en god sikkerhetskultur. Du kan prøve vår bevissthetstrening helt gratis og uforpliktende i 3 måneder.