Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. I disse år er bl.a. revisorer og bogholdere blevet pålagt at indsamle og opbevare kopi af pas, kørekort og sygesikring.
Indsamling
Selve indsamlingen udgør allerede et IT-sikkerhedsproblem, for hvordan skal vi modtage denne type informationer?
Den typiske procedure er måske at tage et billede med en mobiltelefon. Men hvem tager billedet? Er det receptionisten eller eleven med deres private mobiltelefon? Husker vi at slette?
En anden metode er at anvende en scanner/kopimaskine. Men hvor gemmes disse filer?
Hvis kunden selv tager billeder eller scanner, så beder vi måske dem om at sende informationerne i en mail til os? Hvem modtager mailen? Har vi styr på sletning? Og hvad med anvendelse af almindelig e-mail til at sende fortrolige informationer?
Så allerede indsamlingen af denne type data rejser en lang række IT-sikkerhedsspørgsmål.
Hvad så med opbevaringen?
Når vi så har fået de krævede informationer, hvor skal vi så opbevare dem? Det er klart at jf. den nye bogføringslov skal de opbevares sikkert, digitalt. Så en papirkopi i en mappe er ikke farbar.
Mange vil selvfølgelig gøre som de altid har gjort – oprette en kundemappe på virksomhedens F:- eller G:-fællesdrev – hvor alle andre informationer om kunden er placeret – måske i en undermappe.
Vælges denne model rejser det en lang række IT-sikkerhedsmæssige problemstillinger.
Fordelen vil typisk være at data er omfattet af virksomhedens backup og at de kan findes, hvis der skulle blive behov for dem.
Men hvem har adgang til disse personfølsomme data? Hvad med eleven der lige er ansat? Hvad med receptionisten?
Hvad med hackeren, der har fået adgang til din server og truer med at offentliggøre dine data?
Det er klart at vi skal kunne styre HVEM der har adgang til disse data – og at det skal ske ud fra en need-to-know tilgang.
Det vil være bedre at opbevare disse data et sted hvor data er krypterede og hvor det kræver særskilt login (med 2-faktor adgang) for at få adgang til netop de kunders data som du som sagsbehandler arbejder på.
Man kan endda overveje om alm. medarbejdere overhovedet har behov for adgang til disse data. De skal vel typisk kun anvendes i helt specielle situationer?
Hvad gør vi når kundeforholdet stopper?
Jf. GDPR må du kun opbevare personinformationer så længe de er relevante for din behandling. Men lovgivningen kan pålægge dig at opbevare disse data mindst 5 år efter at kundeforholdet stopper.
Hvordan overholder du dette? Det er svært når filer blot er placeret i mapper på G:-drevet.
Her er det nødvendigt at have en database der holder styr på kundeforhold og deres ophør. Ligesom der skal være en procedure for arkivering og sletning af data.
Hvem har ansvaret for denne procedure? Og hvem har adgang til arkivet?
Så som du ser, kan der være mange problemstillinger forbundet med at indsamle, behandle, opbevare og slette data.
Vi er parat til at tage denne dialog med dig. Fx igennem et D-mærket forløb eller et mere fokuseret forløb om netop ansvarlig dataanvendelse og problemstillinger som ovenstående.