Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. Jeg skrev i foråret et blog-indlæg ”Hvor gemmer du de personfølsomme data?”. Dette blogindlæg er stadig relevant og med det seneste datalæk i Sønderjylland føler jeg behov for lige at skrive lidt mere om best practice og mine holdninger.
Personfølsomme oplysninger er i sagens natur fortrolige og GDPR satte i 2018 krav til håndtering af personfølsomme data. Men meget tyder på at man i 2023 sagtens kan føle at man lever op til GDPR uden reelt at beskytte disse data tilstrækkeligt.
Betroes vi personers følsomme data påtager vi os et kæmpe ansvar – vi kan simpelthen ikke være bekendt ikke at beskytte dem bedst muligt.
Men hvordan gøres det i praksis?
Personfølsomme data skal beskyttes med to-faktorlogin, adgangsrettigheder og gerne kryptering.
Dvs. at lagring af personfølsomme data i traditionelle filmapper i 2023 må siges at være alt for risikabelt.
Adgangen til personfølsomme data skal ske på en need-to-know basis. Dvs. at kun medarbejdere der reelt har behov for at anvende data skal have adgang til dem.
Som eksempel kan vi tage et team af sagsbehandlere på 5 personer. Her er det vigtigt at alle 5 ikke har adgang til alle personfølsomme data, men alene til de data som de selv skal anvende i deres sagsbehandling. Dette kræver ekstra arbejde, men det er desværre prisen for at blive betroet så følsomme data.
Dette vil normalt kræve at disse data lagres i en database og ikke i alm. filmapper.
Ofte vil virksomheder have sagsstyringssystemer der understøtter en sådan beskyttelse, men ellers må man indføre særskilte databaser til de følsomme data.
Mange vil spørge om vi ikke kan fortsætte med filmapper, hvis vi bare beskytter dem godt nok?
Jeg vil mene at det vil være meget vanskeligt, men der kan nok findes løsninger?
Men oftest vil det næste krav endegyldigt aflive denne løsning.
Datahygiejne
Datahygiejne er det krav som stilles i GDPR at vi pålægges at slette persondata når vi ikke længere har brug for dem.
Hvis filer blot er placeret i filmapper (uagtet hvor beskyttede de er), så er det næsten umuligt at overholde kravet om sletning.
Lad os antage at vores politik er at slette elevdata automatisk 2 år efter at de har forladt skolen. Dette kan næsten kun styres ved at have informationerne i en database, hvor vi kan opsætte en sletningspolitik for data. Et konkret eksempel på manglende datahygiejne ser vi ved at også data fra tidligere elever og tidligere ansatte er blevet lækket.
Indsamling af personfølsomme data
Selve indsamlingen af de personfølsomme data udgør en udfordring. Det er klart at det bedste ville være at vi får dem direkte fra den registrerede selv, gerne på en platform, hvor de logger ind med MitID.
Er det samarbejdspartnere der leverer informationerne burde et login med MitID også være den bedste model.
Men det er nok endnu ikke muligt for alle?
En del modtager nok stadig denne type informationer via e-mails, dette er helt klart ikke optimalt. Og ved meget kritiske informationer bør de ikke sendes som e-mail.
Ofte skal vi også håndtere samtykke til lagring og behandling af disse data, ligesom vi skal kunne håndtere at den registrerede altid kan tilbagetrække sit samtykke og forlange data slettet eller korrigeret – eller få oplyst hvad vi har registreret om dem.
Men så snart data er modtaget via e-mail og er oprettet i databasen skal vi sikre at e-mailen slettes permanent.
Korrekt indsamling, behandling og sletning af personfølsomme oplysninger er en ledelsesopgave og først i anden omgang en IT-opgave. Ledelsen bliver nødt til at træde i karaktér og stille krav til IT-leverandører og IT-funktionen.
Behandler du personfølsomme data og er usikker på om I beskytter disse data godt nok, så start en dialog med os.
Vi er klar med en hurtig gennemgang og vi råder over systemer der kan anvendes til at få styr på IT-sikkerheden – også de personfølsomme data.
Har du input eller kommentarer til mine anbefalinger, hører jeg gerne fra dig.