Tillbaka till bloggen
6 min read

Vem ska ha tillgång till personuppgifter? 4 Konkreta rekommendationer

Ismail Özkan
By: Ismail Özkan GDPR | 14 januari

I vardagliga situationer ombeds många medarbetare att ge tillgång till personuppgifter utan att veta om att det är personuppgifter.I en anda av att vara till hjälp för kunder, partners eller kollegor lämnar medarbetarna omedvetet ut andra personers personuppgifter. I det här blogginlägget går jag igenom vad en begäran om tillgång till personuppgifter är, vem som ska ha tillgång till personuppgifter och fyra konkreta rekommendationer för hur du kan säkerställa att du inte lämnar ut personuppgifter på ett olagligt sätt.Vi välkomnar dig också att prova vår kurs om att lämna ut personuppgifter, som är utformad för att öka medarbetarnas medvetenhet.

Alla hanterar personuppgifter

Nästan alla organisationer behandlar personuppgifter i dag. Att veta vad som klassas som personuppgifter är det första steget mot att hålla dem säkra. De anställda i din organisation kan få en begäran om att få tillgång till personuppgifter som du behandlar - denna begäran kan komma från den person som uppgifterna tillhör, från tredje part eller till och med från andra anställda i organisationen.

Att ge obehöriga tillgång till personuppgifter kan få allvarliga konsekvenser för din organisation. Som personuppgiftsansvarig har du trots allt ett juridiskt och etiskt ansvar för att skydda de personuppgifter som du behandlar. Att känna till sitt ansvar som personuppgiftsansvarig är avgörande för en säker hantering av personuppgifter. En annan mycket viktig del av detta ansvar ligger dock hos dina medarbetare. Vad ska de tänka på när de blir ombedda att lämna ut personuppgifter och vad kan du göra för att förbättra deras hantering av dessa situationer?

Vad är en begäran om att få tillgång till personuppgifter?

En begäran om tillgång till personuppgifter låter som en mycket formell sak - men det behöver det inte vara. Vardagliga situationer som vi stöter på i vår arbetsvardag kan lika gärna betraktas som en begäran om att lämna ut personuppgifter. Vad händer t.ex. om en av dina kunder ringer och ber dig om uppgifter om hur han eller hon är registrerad hos dig, så att de kan se till att informationen är uppdaterad?

Eller tänk om du får ett telefonsamtal från en affärspartner. Han säger att han försökte nå din kollega i ett brådskande ärende och ber dig kontrollera vad din kollega har i sin kalender, så att han kan ringa henne när hon är ledig.

Kan dessa situationer betraktas som en begäran om att få tillgång till personuppgifter?

Ja, definitivt!

Poängen är att vardagliga situationer där du eller dina kollegor vill hjälpa en kund, eller en annan kollega, kan försätta dig i en situation där du olagligen lämnar ut personuppgifter.

Vem ska ha tillgång till personuppgifter?

De som personuppgifterna tillhör har rätt att få tillgång till sina personuppgifter, så du måste lämna ut de personuppgifter du har om dem om de ber om det.

Dessutom kan andra också, omedvetet eller ej, be dig att lämna ut personuppgifter. I vilket fall som helst måste du vara försiktig eftersom du som personuppgiftsansvarig är skyldig att skydda de personuppgifter du behandlar.

Vad händer om den person som begär tillgång till sina egna personuppgifter inte är den personen?Vad händer om din kollega har något i sin kalender som kan betraktas som en personuppgift, och hon inte vill att den externa affärspartnern ska känna till det?

I allmänhet finns det två saker du måste vara säker på när du ombeds att lämna ut personuppgifter:

  1. Identiteten hos den person som ber om tillgång till personuppgifter.

  2. Att den person som ber dig att lämna ut personuppgifter har rätt att få tillgång till uppgifterna.

Hur du ska uppfylla dessa krav beror på det specifika sammanhanget. Om du t.ex. vill bekräfta identiteten på en person som ringer dig kanske du vill be personen att kontakta dig via ett säkert e-postmeddelande eller helt enkelt be personen att identifiera sig med ett identitetskort. När det gäller rätten att få tillgång till andras personuppgifter är det i allmänhet bara vårdnadshavaren eller någon med fullmakt som kan begära att få tillgång till personuppgifterna.

Säkerhetsmedvetenhet framför hjälpsamhet

Dina anställda bör betraktas som frontpersonal när det gäller att hantera förfrågningar om tillgång till personuppgifter. Det är de som kommer att behöva hantera förfrågningar om att lämna ut personuppgifter.

De flesta personuppgiftsläckor sker på grund av medarbetarnas goda avsikter.

Dessa goda avsikter leder till att medarbetarna lämnar ut personuppgifter till obehöriga. Detta kan leda till allvarliga konsekvenser för den person som uppgifterna handlar om, den person som lämnar ut personuppgifterna och den organisation som är personuppgiftsansvarig.

Picture of the risk analysis template
Det är inte fel att vara hjälpsam mot andra, men dina medarbetare bör sätta säkerhet före hjälpsamhet. En enkel tumregel som du kan berätta för dina medarbetare är följande:

  • Säkerhet = 1:a prioritet

  • Hjälpsamhet = 2:a prioritet

Kom ihåg att cyberbrottslingar är medvetna om människors goda avsikter och önskan att vara hjälpsamma. De kommer att dra nytta av dessa goda avsikter för att ta ner sina mål!

4 konkreta rekommendationer för att lämna ut personuppgifter

Du bör se till att dina anställda har kunskap och verktyg för att hantera förfrågningar om tillgång till personuppgifter. Det innebär att dina kollegor ska känna till de rättsliga kraven för behandling av personuppgifter - och följa dem. Detta kräver också att ditt team har uppdaterad kunskap om principerna i GDPR och hur de ska följas.

Vill du veta vilka rättsliga grunder du behöver för att behandla personuppgifter? Läs vår artikel om den rättsliga grunden för behandling av personuppgifter här.

Så nu kommer den roliga delen. Jag började det här blogginlägget med följande fråga i åtanke: hur kan organisationer se till att deras anställda är bra på att hantera förfrågningar om tillgång till personuppgifter, och hur kan anställda känna sig trygga i hanteringen av sådana förfrågningar? Här kommer jag att presentera fyra konkreta rekommendationer för att lösa dessa problem:

What is personal data

1.Medarbetarnas medvetenhet är din bästa vän

När man tänker på cybersäkerhet, IT-säkerhet, informationssäkerhet eller liknande tänker man oftast på ytliga datorer som kan bryta sig in i nästan vilket system som helst i världen, eller kanske en kille i svart huvtröja som hela tiden trycker på tangenterna på tangentbordet som svar på flytande grön text på en skärm med svart bakgrund.

Även om denna Hollywoodinspirerade föreställning om cybersäkerhet inte är dålig, eftersom den håller cybersäkerhet på människors agenda, lägger den en skugga över några av de verkliga förhållandena när det gäller hur information, inklusive personuppgifter, kan skyddas.Cybersäkerhet är en fråga om samspelet mellan människor, processer och teknik - och det gäller även hanteringen av förfrågningar om tillgång till personuppgifter.

Det främsta du bör göra för att bli bättre på att hantera tillgång till personuppgifter, vilket hänger samman med den mänskliga aspekten, är att se till att dina medarbetare är medvetna om frågan. Det är de som kommer att hantera förfrågningarna om tillgång till personuppgifter, och det är de som antingen kommer att göra det eller förstöra det!

Förvandla dina medarbetare från att vara ett hot mot organisationens cybersäkerhet till att bli ditt bästa försvar mot cyberbrottslingar. Detta är också viktigt när det gäller att hantera förfrågningar om personuppgifter. Utbilda dina medarbetare i vad personuppgifter är och hur de kan upptäcka en situation där de bör vara tveksamma till att lämna ut personuppgifter.Medarbetare som är medvetna om vad de gör är kanske det viktigaste vapnet mot cyberbrottslingar!

Picture of the risk analysis template

2.Begränsa tillgången till personuppgifter för dina anställda

Vi på CyberPilot förespråkar alltid att människor - det vill säga dina anställda - utgör en stor del av cybersäkerheten i din organisation. Det betyder dock inte att du ska bortse från teknikens betydelse.

Ett sätt att använda tekniken för att hjälpa dina medarbetare att undvika att omedvetet lämna ut personuppgifter är att begränsa deras tillgång till personuppgifter.Det kan du t.ex. göra genom att ha definierade åtkomsttillstånd till olika mappar på din delade hårddisk.

Varför ska medarbetare som inte behöver en viss information för att kunna utföra sitt arbete kunna komma åt den informationen?

Till exempel bör endast de medarbetare som arbetar med vissa kunder kunna komma åt informationen om dessa kunder. Genom att göra detta minskar du risken för att dina medarbetare ger obehöriga tillgång till personuppgifter.

3. Skapa en riktlinje för utlämnande av personuppgifter

Nu har du investerat i att göra dina anställda medvetna om problemen med att lämna ut personuppgifter och du har skapat begränsningar i dina system för att se till att ingen har tillgång till information som de inte behöver.

Genom att göra detta har du investerat i människor och teknik för att säkerställa laglig tillgång till personuppgifter.Nästa del som du bör fokusera på är - du gissade rätt - processer.

Skapa en riktlinje som guidar dina medarbetare genom vad de ska tänka på och göra när de ställs inför förfrågningar om tillgång till personuppgifter. Definiera tydligt processerna för hur de ska agera. Du kanske till exempel vill basera riktlinjerna på de två punkter som jag nämnde ovan: bekräftelse av identitet och rätten att få tillgång till personuppgifter.

I din riktlinje för att (inte) lämna ut personuppgifter kan du ta med exempel på:

  • Vad som betraktas som personuppgifter

  • Hur dina medarbetare kan bekräfta en persons identitet

  • Hur de kan vägra att lämna ut personuppgifter i vardagliga situationer, även om den som frågar är någon som de känner mycket väl (t.ex. en affärspartner)

  • Vad de ska göra om de är osäkra på hur de ska agera

4. Se till att dina anställda har någon att rådfråga

Min sista rekommendation för att hantera tillgången till personuppgifter är att ha någon eller några - t.ex. ett dataskyddsombud, en jurist, en person som ansvarar för GDPR eller en juridisk avdelning - som kan hjälpa medarbetarna i situationer där de är osäkra.

När allt kommer omkring kan du inte förvänta dig att alla dina anställda ska vara experter på regler som GDPR. De bör bara vara medvetna om frågan och ha viss praktisk kunskap om hur man hanterar vardagliga situationer. När det uppstår extraordinära situationer ska de kunna söka hjälp någonstans.

Det här handlar dock om mer än att bara utse en person eller en avdelning. Det handlar om din organisationskultur. Dina anställda måste vara villiga och trygga med att söka råd när de är osäkra på en begäran om tillgång till personuppgifter. På samma sätt måste ditt dataskyddsombud eller den person eller avdelning som ansvarar för GDPR vara villig att hjälpa dina anställda.

Att uppnå en sådan kultur är lättare sagt än gjort.För inspiration om hur du kan förvandla din företagskultur till en stark cybersäkerhetskultur rekommenderar jag att du tittar på vår guide till att skapa en säkerhetskultur eller den här kostnadsfria e-boken som mina kollegor på CyberPilot har skapat.

CTA_e-book_blog-desktop

Slutsats: Dina anställda kommer antingen att göra det eller förstöra det

Det är omöjligt att undvika att behandla personuppgifter idag, och det gäller nästan alla typer av organisationer. I de vardagliga situationer som dina medarbetare ställs inför i sitt arbete kommer de ofta att behöva komma åt personuppgifter - från sina medarbetare, affärspartners eller kunder. Det är mycket viktigt att du utbildar dina medarbetare i hur de ska agera när de ombeds att lämna ut personuppgifter. Detta beror på att du som personuppgiftsbiträde har ett ansvar för att se till att du inte lämnar ut personuppgifter till obehöriga.

Det bästa sättet att förse dina anställda med nödvändig kompetens och utbildning är att införa ett kontinuerligt utbildningsprogram för dina anställda.Det gör det lättare för dem att komma ihåg vikten av att hantera personuppgifter på ett lagligt sätt, samtidigt som det håller korrekt hantering av personuppgifter på agendan. Sammantaget bidrar det till att skapa en säkerhetskultur i organisationen och till att uppfylla kraven i GDPR.

Om du fortfarande läser är du förmodligen intresserad av att säkerställa att personuppgifter hanteras och nås på rätt sätt i din organisation. På CyberPilot är vi specialiserade på att utbilda medarbetare i medvetenhet. Just nu kan du prova vår utbildningimedvetenhet gratis- utan några åtaganden eller köp. Jag skulle särskilt rekommendera att du provar vår kurs om att lämna ut personuppgifter och ser om den känns som en bra passform för din organisation.

En kvinna testar gratis kurser i medvetenhet på sin dator
Back to blog
Recent articles
GDPR Rättslig Grund För Behandling Av Personuppgifter

Du behöver rättslig grund för behandling av personuppgifter. Men vad är det och hur kan du få det? Här är vad du och dina kollegor borde veta.

Ismail Özkan 4 min read - By Ismail Özkan
GDPR Vad är ett dataskyddsombud, och behöver ni ett?

En DPO, Dataskyddsombud, har ansvaret för att er verksamhet behandlar personuppgifter korrekt. Men behöver ni anställa en DPO?

Isabella Lüders 3 min read - By Isabella Lüders
GDPR, Cybersäkerhet Hur Man Under Videomöten, Behåller Informationen Säker

Under videomöten kan man av misstag dela med sig av för mycket, som går ut över företagets informationssäkerhet. Om du inte är uppmärksam så kan du komma att dela din skärm me

Sajerathan Vincent 2 min read - By Sajerathan Vincent