I hverdagssituationer bliver mange medarbejdere spurgt om at give andre adgang til persondata uden at vide, at det faktisk er persondata. Da man gerne vil være hjælpsom over for kunder, partnere eller kolleger, så udleverer medarbejdere ubevidst andre menneskers personlige data. I dette blogindlæg vil jeg guide dig igennem, hvad en anmodning om adgang til persondata er, hvem der skal have adgang til persondata, samt 4 konkrete anbefalinger til, hvordan du kan sikre, at du ikke udleverer persondata på en ulovlig måde. Du er også mere end velkommen til at prøve vores kursus om udlevering af persondata, designet til at øge medarbejdernes bevidsthed.
Alle håndterer persondata
Stort set alle organisationer behandler personoplysninger i disse dage. At vide, hvad der faktisk er klassificeret som persondata, er første skridt i retning af at holde dataene sikkert. Medarbejderne i din organisation kan få en anmodning om at få adgang til persondata, som du behandler – denne anmodning kan være fra den person, som dataene tilhører, fra tredjeparter eller endda fra andre medarbejdere i organisationen.
At give uautoriserede personer adgang til persondata kan have alvorlige konsekvenser for din organisation. Som dataansvarlig har du trods alt et juridisk og etisk ansvar for at beskytte de personoplysninger, du behandler. At kende dit ansvar som dataansvarlig er afgørende for sikker håndtering af personoplysninger. Dine medarbejdere er en vigtig del af at opfylde dette ansvar. Hvad skal de overveje, når de bliver bedt om at udlevere personlige data, og hvad kan du gøre for at forbedre, hvordan de håndterer disse situationer?
Hvad er en anmodning om at få adgang til personlige data?
En anmodning om at få adgang til persondata lyder som en meget formel ting – det behøver det dog ikke at være. Hverdagssituationer, som vi støder på i vores normale arbejdsdag, kan også betragtes som anmodninger om at udlevere personlige oplysninger. Hvad hvis en af dine kunder for eksempel ringer til dig anmoder om indsigt på, hvordan han eller hun er registreret i din virksomhed, så de kan sikre sig, at oplysningerne er opdateret?
Eller overvej, at du får et telefonopkald fra en samarbejdspartner. Han siger, at han forsøgte at kontakte din kollega om noget der haster og beder dig tjekke, hvad din kollega har i hendes kalender, så han kan ringe til hende, når hun har fri.
Kan sådan nogle situationer betragtes som anmodninger om adgang til personlige oplysninger?
Ja det kan de!
Pointen er, at hverdagssituationer, hvor du eller dine kolleger ønsker at hjælpe en kunde eller en anden kollega, kan sætte dig i en situation, hvor du ulovligt udleverer personlige oplysninger.
Hvem skal have adgang til persondata?
De, som personoplysningerne tilhører, har ret til indsigt til deres personoplysninger, så du skal altså udlevere de persondata, du har om dem, hvis de beder om det.
Derudover kan andre også, ubevidst eller ej, bede dig om at udlevere personlige data. Du skal under alle omstændigheder være forsigtig, fordi du som dataansvarlig har en forpligtelse til at beskytte de personoplysninger, du behandler.
Hvad hvis den person, der anmoder om adgang til sine egne personoplysninger, ikke er denne person? Hvad hvis din kollega har noget i sin kalender, der kan betragtes som persondata, og hun ikke ønsker, at den eksterne samarbejdspartner skal vide om det?
Generelt er der to ting, du skal være sikker på, når du bliver bedt om at udlevere personlige data:
- Identiteten på den person, der beder om adgang til persondata.
- At den person, der beder dig om at udlevere persondata, har ret til at få adgang til dataene.
Hvordan du skal opfylde disse krav vil afhænge af den specifikke kontekst. For at bekræfte identiteten på en person, der ringer til dig, kan du for eksempel bede personen om at kontakte dig via en sikker e-mail, eller blot bede personen om at identificere sig selv med f.eks. kørekort eller pas. Når det kommer til retten til at få adgang til andres persondata, er det generelt kun deres værge eller en person med fuldmagt, der kan anmode om adgang til disse personoplysninger.
Awareness frem for hjælpsomhed
Dine medarbejdere skal betragtes som dit forsvar når det kommer til håndtering af persondata og anmodninger om adgang til disse data. Det er jo nemlig dem, der skal håndtere anmodningerne om at udlevere personlige data.
De fleste persondatalækager sker desværre på grund af medarbejdernes gode hensigter.
Disse gode hensigter leder medarbejdere til at udlevere persondata til uautoriserede personer. Det kan have alvorlige konsekvenser for den person, dataene handler om, den person der udleverer personoplysningerne, og den organisation der er dataansvarlig.
Det er ikke dumt at være hjælpsom, men dine medarbejdere bør prioritere sikkerhed over hjælpsomhed.
En simpel tommelfingerregel, som du kan fortælle dine medarbejdere er:
- Sikkerhed = 1. prioritet
- Hjælpsomhed = 2. prioritet
Husk, at IT-kriminelle er opmærksomme på folks gode hensigter og ønske om at være hjælpsomme.
De IT-kriminelle gør nemlig brug af medarbejderes gode intentioner til at nedlægge deres mål!
4 konkrete anbefalinger til udlevering af persondata
Du bør sikre dig, at dine medarbejdere både har viden og værktøjerne til at håndtere anmodninger om adgang til persondata. Det betyder, at dine kollegaer bør kende til de lovmæssige krav til behandling af persondata – og hvordan de overholder dem. Dette kræver også, at dit team har up-to-date viden om GDPR-principperne, og hvordan man følger dem.
Vil du vide, hvilket juridisk grundlag du har brug for, for at behandle personoplysninger? Læs vores blog om behandlingsgrundlag for personoplysninger her.
Nu kommer vi til den sjove del. Jeg startede dette blogindlæg med følgende spørgsmål i tankerne: hvordan kan organisationer sikre, at deres medarbejdere er gode til at håndtere anmodninger om adgang til personlige data, og hvordan kan medarbejderne være sikre på at håndtere sådanne anmodninger?
Nu vil jeg præsentere 4 konkrete anbefalinger til at få styr på disse problemer:
1. Dine medarbejderes awareness er din bedste ven
Når folk tænker på cybersikkerhed, it-sikkerhed, informationssikkerhed eller lignende, er de normalt tilbøjelige til at tænke på overfladiske computere, der kan bryde ind i næsten ethvert system i verden, eller måske en fyr i en sort hættetrøje, der taster løs på et tastatur, i respons til en masse grøn tekst på en skærm med en sort baggrund.
Selvom denne Hollywood-inspirerede fantasi om cybersikkerhed ikke er dårlig, fordi den holder IT-sikkerhed på folks dagsorden, lægger den dog en skygge for nogle af realiteterne af, hvordan information, herunder persondata, kan beskyttes. IT-sikkerhed er nemlig et spørgsmål om samspillet mellem mennesker, processer og teknologi – og det samme er håndteringen af anmodninger om adgang til personlige data.
Den vigtigste ting, du bør gøre for at blive bedre til at håndtere adgang til persondata, er at sikre, at dine medarbejdere er opmærksomme på problemet. Det er nemlig dem, der håndterer anmodninger om at få adgang til persondata.
Vend dine medarbejdere fra at være en trussel mod din organisations IT-sikkerhed til at være dit bedste forsvar mod IT-kriminelle. Det er også vigtigt, når det kommer til håndteringen af anmodninger om persondata. Træn dine medarbejdere i, hvad persondata er, og hvordan de kan opdage situationer, hvor de burde være tilbageholdende med at udlevere persondata. Medarbejdere, der er klar over, hvad de laver, er måske faktisk det vigtigste våben mod IT-kriminelle!
2. Begræns adgangen til persondata for dine medarbejdere
Hos CyberPilot går vi altid ind for, at mennesker – det vil sige dine medarbejdere – udgør en stor del af IT-sikkerheden i din organisation. Det betyder dog ikke, at du skal negligere vigtigheden af teknologi.
En måde at bruge teknologi til at hjælpe dine medarbejdere med at ubevidst udlevere persondata er ved at begrænse deres adgang til personlige data. Du kan for eksempel gøre dette ved at have definerede adgangstilladelser til forskellige mapper på dit fællesdrev.
Hvorfor skal medarbejdere, der ikke har brug for en specifik slags information for at udføre deres arbejde have adgang til den information?
For eksempel bør kun de medarbejdere, der arbejder med bestemte kunder, have adgang til oplysningerne om de kunder. Ved at gøre dette reducerer du chancerne for, at dine medarbejdere giver uautoriserede personer adgang til persondata.
3. Skab retningslinjer for udlevering af persondata
Nu har du investeret i at gøre dine medarbejdere opmærksomme på problemere med at udlevere personlige data, og du har oprettet begrænsninger i dine systemer for at sikre, at ingen har adgang til information, de ikke har brug for.
Ved at gøre det har du investeret i mennesker og teknologi for at sikre lovlig adgang til persondata. Den næste del, du bør fokusere på, er – du gættede rigtigt – processerne.
Skab retningslinjer, der leder dine medarbejdere gennem, hvad de bør overveje og gøre, når de står over for anmodninger om adgang til personlige data. Definer processerne for, hvordan dine medarbejdere skal agere. F.eks. kan du basere retningslinjerne på de to punkter, jeg nævnte ovenfor: bekræftelse af identit og retten til at få adgang til persondata.
I din retningslinjer for (ikke) udlevering af persondata kan du inkludere eksempler på:
- Hvad der betragtes som persondata
- Hvordan dine medarbejdere kan bekræfte en persons identitet
- Hvordan de kan nægte at udlevere personlige data i hverdagssituationer, selv når den der spørger, er en de kender meget godt (f.eks. en forretningspartner)
- Hvad de skal gøre, hvis de er usikre på, hvordan de skal handle
4. Sørg for, at dine medarbejdere har nogen at rådføre sig med
Min sidste anbefaling til håndtering af adgang til persondata er at have nogen eller et sted – såsom en databeskyttelsesansvarlig (DPO), en advokat, en person med ansvar for GDPR eller en juridisk afdeling – som kan hjælpe medarbejdere i situationer, hvor de er i tvivl.
Du kan jo ikke forvente, at alle dine medarbejdere er eksperter i regler som GDPR. De skal bare være opmærksomme på problemet og have en vis praktisk viden om håndtering af hverdagssituationer. Når der opstår ekstraordinære situationer, bør de være i stand til at søge hjælp fra et sted.
Det går udover blot at udpege en person eller afdeling. Det handler om din organisationskultur. Dine medarbejdere skal være villige og trygge til at søge råd, når de er i tvivl om anmodninger om at få adgang til persondata. På samme måde skal din DPO eller den person eller afdeling, der er ansvarlig for GDPR, være villig til at hjælpe dine medarbejdere.
At opnå sådan en kultur er lettere sagt end gjort. For at få inspiration til, hvordan du kan omdanne din virksomhedskultur til en stærk IT-sikkerhedskultur, vil jeg anbefale at se vores guide til at skabe en sikkerhedskultur eller denne gratis e-bog, som mine kollegaer hos CyberPilot har skabt.
Konklusion: Det er knald eller fald for dine medarbejdere
Det er umuligt at undgå at behandle personoplysninger i disse dage, og det gælder for næsten alle typer organisationer. Dine medarbejdere er ofte krævet til at have adgang til persondata på en normal arbejdsdag – fra deres kolleger, forretningspartnere eller kunder. Det er afgørende, at du træner dine medarbejdere i at vide, hvordan de skal agere, når de bliver bedt om at udlevere persondata. Det er fordi, at du som databehandler, har et ansvar for at sikre, at du ikke videregiver persondata til uvedkommende.
Den bedste måde at udstyre dine medarbejdere med de nødvendige færdigheder og viden er ved at vedtage et kontinuerligt træningsprogram for dine medarbejdere. Det gør det lettere for dem at huske vigtigheden af at håndtere persondata på en lovlig måde, og samtidig holde ordentlig håndtering af persondata på dagsordenen. Som helhed bidrager det til at opnå en sikkerhedskultur i din organisation samt overholdelse af GDPR.
Hvis du stadig læser, er du sikkert interesseret i at sikre, at persondata håndteres og tilgås korrekt i din organisation. Hos CyberPilot specialiserer vi os i awareness-træning for medarbejdere. Lige nu kan du prøve vores awareness-træning gratis – uden nogen forpligtelser eller køb. Jeg vil især anbefale at prøve vores kursus i udlevering af persondata, og se om det er noget der passer ind i din organisation.
