GDPR har været en del af vores liv siden maj 2018, hvor den blev indført i EU. Lige siden da har medarbejdere og organisationer været forpligtet til at følge persondatareglerne og -lovene.
Men hvem skal egentlig have adgang til dine personlige data? Vi vil se nærmere på, hvem der skal have adgang, og hvordan de skal håndtere dem.
Håndtering af personlige data
Vi tænker måske ikke på enhver situation, hvor vi håndterer og behandler personoplysninger, men vi håndterer meget data. Vi håndterer personoplysninger, hvis vi hjælper vores kunder med deres kontoudtog, eller når vi snakker med vores kolleger om deres baggrund eller familieforhold.
Du kan således få forespørgsler fra kollegaer om behandling af persondata, der enten vedrører dem, en tredjepart eller andre medarbejdere i organisationen.
Det er her, du bør genoverveje, hvad du gør næste gang. Hvis du giver en uvedkommende adgang til persondata, kan det få alvorlige konsekvenser for din organisation. Eksempelvis som dataansvarlig, har du en forpligtelse og et ansvar for at beskytte de data, du behandler.
- Ansvaret ligger hos dig og dine kollegaer; I skal overveje, hvornår I bliver bedt om at videregive data – og hvordan I håndterer det.
Du kan ikke altid se, hvornår du får en forespørgsel om at få adgang til personlige data. Der er hverdagssituationer, hvor medarbejdere ønsker at hjælpe kunder, kolleger og samarbejdspartnere, og det kan føre til deling af personlige oplysninger. Det kan være information om en kollegas kalender eller bekræftelse af en aftale, men det kan føre til et potentielt brud på GDPR.
Hvornår anmoder du om adgang til personlige oplysninger?
Det kan lyde svært at skelne mellem en anmodning om at få adgang til personlige oplysninger og en hyggelig snak over en kop kaffe.
Når vi tænker på at anmode om noget, bliver det pludselig en formel forespørgsel, men det behøver det ikke at være. Hvis en kunde henvender sig og ønsker at få nogle detaljer om deres seneste registreringer, eller hvis din eksterne partner har brug for information om et planlagt møde, han har med en anden kollega, er det i bund og grund en anmodning om at få adgang til personlige oplysninger. Kunden og den eksterne partner anmoder om at få yderligere information om deres egne data og en kollegas kalender.
Det vigtige er, at det er information, der er personlig for den enkelte person. Det er ikke kun fortrolige oplysninger om deres helbred og andre følsomme data, det er også kalendere og aftaler.
Hvem skal have adgang?
Du undrer dig måske over, hvem der skal have adgang til dine personlige oplysninger, og det korte svar er, dem, hvis oplysningerne tilhører og handler om.
Så hvis en person, hvis data, du behandler, beder om adgang til dem, skal du give vedkommende adgang. Du skal dog være forsigtig, hvis andre beder om adgang til personlige data - som vi har fastslået, er det muligvis ikke så indlysende, som vi gerne vil have det til at være.
Det vanskelige ved dette er, at de fleste vil anmode om adgang via et telefonopkald eller via e-mail – her kan du ikke fuldstændig verificere deres identitet og i værste fald give adgang til følsomme oplysninger til en anden. Cybertruslen om identitetstyveri lurer, og hackere bliver endnu bedre til at efterligne andre mennesker. Derfor bør du altid være 100 % sikker på en persons identitet, før du giver vedkommende adgang til personlige oplysninger.
Du kan også, uden at have tænkt over det, ved et uheld se eventuelle private sager i din kollegas kalender, når du tjekker, om de er ledige til et møde - så du bør altid anmode om adgang, før du interagerer med andres personlige data.
Så kort sagt:
- Bekræft altid identiteten på den person, der anmoder om adgang til de pågældende personoplysninger.
- Sørg altid for, at den person, der anmoder om adgang, faktisk har ret til adgang til oplysningerne.
Du kan bekræfte en persons identitet enten ved at få dem til at bekræfte den via en sikker e-mail eller ved at bede dem om et ID-kort.
Når du vil sikre dig, at en person har ret til at få adgang til en anden persons data, er de normalt en form for værge (som en forælder eller partner) eller en person med juridisk ret til at få adgang til dataene.
Prioritér sikkerheden
Uanset hvor hjælpsom du ønsker at være, skal du huske GDPR og persondatasikkerhed.
Det er ofte medarbejdere, der bliver stillet over for spørgsmålet "kan jeg lige få info om den og dens mødeplan", hvor vi normalt bare vil hjælpe, og informere den, der ringer om tidsplanen.
Det er dog et stort brud på GDPR og fortrolighed. Den medarbejder, der bliver stillet dette spørgsmål, har muligvis ikke bedt om en verifikation på den, der ringer op, og de udleverer dermed personlige oplysninger til en fremmed og uautoriseret person.
Derfor kommer sikkerhed først, hjælpsomhed i anden række. Hackere bruger mange taktikker for at få personlige oplysninger og bruger normalt social engineering til at appellere til vores følelser – de ved hvor godhjertede og hjælpsomme mennesker ønsker at være og vil derfor udnytte det.
Tips til når du giver personlige oplysninger
Du ønsker at forblive i overensstemmelse med GDPR, hvilket du kan gøre både med en databeskyttelsesrådgiver (DPO), men også ved at informere dine medarbejdere om regler og bestemmelser i forbindelse med behandling af personoplysninger.
Implementér awareness-træning
Først og fremmest bør du træne de personer, der håndterer anmodninger om at få adgang til personlige data. Enhver medarbejder i en organisation bør kende til de retningslinjer og love, som GDPR indebærer, så de vil ikke overtræde nogen love og dermed resultere i en GDPR-bøde.
Ved at øge bevidstheden om sikkerheden omkring persondata sikrer du, at folk er forsigtige, når de håndterer dem. Cybersikkerhed starter med mennesker, og behandling af personlige data er ingen undtagelse.
Medarbejderne i en organisation bør ikke udgøre en trussel mod sikkerheden af personlige data - de bør være den bedste beskytter af dem.
Begræns adgang
En anden vigtig ting, du kan implementere for at forbedre din sikkerhed omkring personlige data, er at begrænse, hvem der har adgang til de følsomme oplysninger. Her kan teknologi være en stor hjælp til at begrænse adgangen, og dermed etablere principle of privilege blandt medarbejderne.
Ved at begrænse adgangen begrænser du også risikoen for, at personer utilsigtet deler information uden retten til at dele det.
Så en god tommelfingerregel er kun at give adgang til data vedrørende medarbejderens kunder, og ikke give adgang dem adgang til alle kunder i virksomheden.
Lav klare retningslinjer
Klare retningslinjer sikrer, at du minimerer den tvivl og/eller forvirring, der kan være, når det kommer til at dele og få adgang til personlige oplysninger.
I disse retningslinjer bør du definere hvordan du kan verificere kundens identitet, hvad persondata er og hvad de skal gøre, hvis de ikke er sikre på, hvordan de skal handle i visse situationer. Dette vil gøre det lettere for medarbejderne at forstå den komplekse verden af GDPR og personlige data.
Brug din DPO
Du skal huske, at du enten har en DPO eller en person, der er ansvarlig for din virksomheds overholdelse af GDPR.
Når folk ved, at du har nogen, der er ansvarlige og kyndig i GDPR og compliance, føler de forhåbentlig, at de kan stille og opklare alle spørgsmål, de måtte have.
Compliance og databeskyttelse
Det er altid vigtigt at være på vagt, når du beskæftiger dig med følsomme data. Dette inkluderer at vide hvad følsomme og personlige oplysninger er, og hvornår nogen anmoder om adgang til dem.
Vi mener måske ikke, at en kalender eller kunderegistreringer er personlige data, men det er de. Og i tilfælde af, at der er udefrakommende, der spørger ind til dem, kan du nu med sikkerhed vide, at de er det.
Det er godt at bruge værktøjerne og folk omkring dig, så hvis du skulle have spørgsmål eller bekymringer til en bestemt sag eller et problem, skal du føle dig tryg ved at spørge, f.eks. din virksomheds DPO eller den person, der er ansvarlig for din compliance og databeskyttelse.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler