Skydda din organisation mot personuppgiftsincidenter

Det satsas mycket tid och pengar på att införa tekniska åtgärder för att skydda personuppgifter. Men hur kan man minska risken för personuppgiftsincidenter kopplat till bristande rutiner eller den mänskliga faktorn?

Vad är personuppgifter? 

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om namn, adress och personnummer. 

Vad är en personuppgiftsincident? 

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig spridning, förstöring, förlust eller ändring av personuppgifter.  

Utmaningen

Det satsas mycket tid och pengar på att införa tekniska åtgärder för att skydda personuppgifter. Det inkluderar avancerade lösningar för åtkomstkontroll, brandväggar, m.m med syftet att minska risken för incidenter. Dessutom skapas omfattande dokumentation för att reglera hanteringen av personuppgifter inom en organisation. 

Min erfarenhet är dock att en av de största riskerna för personuppgiftsincidenter, trots alla tekniska lösningar och skrivna rutiner, är kopplat till den mänskliga faktorn. 

Människor vill i allmänhet göra rätt, men misstag begås ändå. Denna spaning backas upp av en undersökning som nyligen publicerats av IMY, där de konstaterat att 6 av 10 personuppgiftsincidenter inrapporterade under 2022 är kopplade till den mänskliga faktorn. Se Länk. 

Hur minskar man då risken för fel på grund av mänskliga faktorer? 

På ett övergripande plan handlar det om att skapa en sund säkerhetskultur. Med detta menar jag en kultur där människor förstår hur de skall tänka och förhålla sig till personuppgifter i sin vardag. 

Jag har i tidigare roller arbetat med att skapa sunda säkerhetskulturer och vet av erfarenhet att det kan ta väldigt lång tid innan önskade beteenden sitter i ryggmärgen. Det är därför av yttersta vikt att detta arbete påbörjas så tidigt som möjligt. 

Nedan följer några exempel på situationer som kan leda till personuppgiftsincidenter om personuppgifter inte hanteras på ett korrekt sätt och några enkla och konkreta tips:  

• Ostrukturerad information i form av t.ex. e-post och dokument. E-post: När du skickar e-post med personuppgifter, behöver du dels säkerställa att du inte skickar mer information än det som krävs, dels att du inte skickar informationen till fler mottagare än nödvändigt. Vad gäller personuppgifter i dokument, bör denna information lagras på en säker plats där informationen är krypterad och lösenordskyddad. 
• Distribution av personuppgifter via e-post till oönskade mottagare. I de fall du behöver skicka information med personuppgifter till flertalet mottagare, är det lätt hänt att du skickar informationen till för många personer samtidigt, och därmed röjer identiteten så att alla mottagare ser vilka andra som fått denna information. Här bör du t.ex. undersöka om det går att få till en teknisk begränsning som varnar om du försöker skicka e-post till för många personer samtidigt. 
• Delning av personuppgifter utan tids- och åtkomstbegränsning. I de fall du delar personuppgifter med andra parter, bör du säkerställa att åtkomsten till denna information är tidsbegränsad. Detta dels för att begränsa potentiell spridning av personuppgifter, dels att säkerställa att lagringstiden följer de regler och riktlinjer du satt upp. 

Här kommer även några grundläggande generella tips som kan hjälpa till på vägen: 

• Ta fram och genomför återkommande och obligatoriska generella utbildningar gällande informationssäkerhet och dataskydd. 
• Lägg energi på att förstå hur vardagen ser ut för olika målgrupper inom organisationen. När du förstår hur deras vardag ser ut, är det mycket lättare att förstår vilka utmaningar de ställs inför gällande en korrekt hantering av personuppgifter. 
• Ta fram och genomför riktade utbildningsinsatser för berörda målgrupper. Utgå från de utmaningar du har identifierat och beskriv olika scenarion som utgår ifrån deras dagliga utmaningar. Se också till att på ett pedagogiskt sätt visa på hur det korrekta tillvägagångssättet stämmer med innehållet i organisationens integritetspolicy. 
• Ta fram riktade och tydliga instruktioner (t ex checklistor) för specifika målgrupper, som tydligt beskriver hur de skall agera vid specifika situationer i deras vardag.  

Nyfiken på att veta mer eller vill ha tips eller stöd i ert arbete? Kontakta mig!