Sedan den allmänna dataskyddsförordningen (GDPR) blev aktuell i maj 2018 har ‘personuppgifter’ blivit ett vanligt uttryck. Dina anställda vet förmodligen att det är viktigt att hantera personuppgifter på ett säkert sätt, men vet de HUR man gör det? Detta inlägg tar dig igenom vad personuppgifter är, vilka typer av personuppgifter det finns och hur man hanterar situationer med blandade typer av personuppgifter. Dessutom får du reda på hur du hanterar personuppgifter enligt GDPR, med 3 enkla steg.
Varför är det viktigt?
Nu har det gått några år efter att GDPR infördes, och ansträgningarna för att hitta dem som felaktigt hanterar personuppgifter har ökat. Något som också har ökat är summan av böterna kopplade till GDPR. En böter kan gå upp till 4% av ett företags globala intäkter. Företag som inte hanterar personuppgifter på rätt sätt, kan även bidra till identitetsstöld, ekonomiskt bedrägeri och intrång i privatliv.
Personuppgifter i ett nötskal
Kort beskrivet är personuppgifter en typ av information som kan användas för att identifiera en specifik person. Det innefattar information som namn, adress, registreringsskylt, en jobbansökan eller en bild av en tatuering. Det är en bred term, men personuppgifter kan delas upp i två kategorier: som allmänna eller känsliga.
Allmänna personuppgifter
Allmänna personuppgifter kan innehålla personlig identitetsinformation såsom:
Namn
Adress
Mobilnummer
Födelsedatum
Yrke
Känsliga personuppgifter
GDPR kräver en mycket strängare hantering av de personuppgifter som kategoriseras som känsliga. Eftersom en felaktig hantering av den typen av uppgifter kan leda till omfattande konsekvenser. Därför är det viktigt att dina anställda kan identifiera känsliga personuppgifter och att de är extra uppmärksamma i nya situationer, då det ofta är i obekanta situationer som personuppgifter missköts. De mest känsliga personuppgifterna kan klassificeras i en av följande kategorier:
Ras eller etniskt ursprung
Politiska, religiösa eller filosofiska övertygelser
Fackligt medlemskap
Genetiska data/biometriska data (t.ex. fingeravtryck)
Hälsoinformation
Sexuella relationer eller läggning
För många kommer dessa kategorier att vara självklara, men det finns några överraskande exempel.Ett personnummer anses till exempel inte vara känsligt. Personnummer hör till en tredje kategori – nämligen konfidentiella personuppgifter. Även om dessa inte anses vara känsliga personuppgifter, har en del länder separata regler för hur de ska hanteras.
Blandade personuppgifter
Prinncperna för GDPR kan verka otydliga och det kan bli extra motigt om du till exempel får ett dokument som innehåller både allmänna, känsliga och konfidentiella uppgifter. Normalt kan du snabbt ta reda på hur du ska bearbeta informationen om du är bra på att känna igen känsliga personuppgifter. Ta ett CV, till exempel. Merparten av informationen i ett CV kan kategoriseras som allmän personlig information, såsom namn, adress, telefonnummer, ålder och arbetserfarenhet. Samtidigt kan viss utbildnings- och anställningserfarenhet också klassificeras som konfidentiell information.
När man stöter på en sådan här situation, är en tumregel att man börjar med att identifiera känsliga personuppgifter. Om man så hittar en enda känslig uppgift måste hela dokumentet behandlas som känsliga personuppgifter. Då undviker man att behöva bearbeta varje personlig uppgift separat.
Hanteringen av personuppgifter
GDPR innehåller regler för de situationer där de olika kategorierna av personuppgifter kan komma att behandlas. I det här inlägget kommer vi inte att fördjupa oss i dessa regler, men vi rekommenderar att du känner till hur du som företag efterlever GDPR. Att känna till riklinjerna hjälper dig at säkerställa att du inte bryter mot reglerna själv, och att skapa förståelse för om din organisation har de behörigheter som krävs för att behandla personuppgifter.
Att alla anställda är involverad är nyckeln till säker hantering av personuppgifter inom företag. Enligt Anne, som är ansvarig för GDPR inom IT företaget Novicell, är det den ansvarigas uppgift att översätta komplexiteten i GDPR till handlingsbara processer så att alla anställda kan hjälpa till att efterleva GDPR.
Tips för att hantera personuppgifter
Även om det kan verka skrämmande att skapa förändringar i sina vanor och arbetsrutiner, kan du komma långt genom att bara komma ihåg dessa 3 enkla steg:
Var säker på när du behandlar allmänna eller känsliga personuppgifter. När det gäller känsliga personuppgifter bör du vara extra uppmärksam
Behandla personuppgifter som något du lånar. Ta hand om det, lämna tillbaka det när du är klar och låna inte ut det till andra. Det betyder att hålla det säkert, radera det när du är klar och att aldrig dela det till andra människor som inte har rätt att se det.
Om du är osäker på hur personuppgifter ska hanteras i din verksamhet, fråga den ansvariga, t.ex. din dataskyddsombud
Vad kan jag göra?
Tekniska lösningar är viktiga för att hantera frågor inom IT, men det är också minst lika viktigt med de anställdas kunskap och medvetenhet om hur man hanterar personuppgifter på ett säkert sätt. Dina anställdas kunskap är direkt avgörande för er IT-säkerhet.
I det här blogginlägget förklarade vi övergripande vad personuppgifter är och varför du måste vara uppmärksam när du hanterar dem. När det gäller hantering av personuppgifter räcker det inte att bara en person i verksamheten vet vad de ska göra – alla anställda måste känna sig säkra på att de kan behandla personuppgifter korrekt utan att riskera en rejäl böter för företaget.
På CyberPilot erbjuder vi medvetenhetsträning iform av e-kurser, där dina anställda kan lära sig hur man hanterar personuppgifter. Medvetenhetsutbildning ger också en solid grund för GDPR-efterlevnad och har en stark IT-säkerhetskultur i din verksamhet. Du kan prova gratis i 3 månader.