Idag ska vi närma oss det skrämmande ämnet personuppgiftsincidenter, och hur organisationer på bästa möjliga sätt förhindrar att dessa inträffar. Men innan vi diskuterar incidenter, är det viktigt att förstå syftet med GDPR.

GDPR reglerar i grund och botten vad en organisation (en personuppgiftsansvarig) får göra med en personuppgift och hur den får behandlas. Utgångspunkten i GDPR är att det är individen som äger och bestämmer över sin egen personuppgift. Vill en organisation behandla en personuppgift måste det finnas ett medgivande eller ett starkt skäl till registreringen. Tillsammans med registreringen med följer också stort ansvar att förvalta uppgifterna.

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt. Det innebär att organisationen bara får samla in uppgifter för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandla uppgifterna på ett sätt som skiljer sig ifrån dessa ändamål.

Personuppgifterna ska vara relevanta och inte för omfattande. Behöver organisationen inte använda till exempel personens hemadress i samband med ändamålet så ska den heller inte registrera uppgiften. Uppgiften måste också vara korrekt och uppdaterad. Personuppgifter får heller inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt. Avslutningsvis ska personuppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, vilket innebär skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. När dessa principer inte uppfylls (antingen ensamt eller i kombination) så resulterar detta inte sällan i en så kallad personuppgiftsincident.

En personuppgiftsincident kan komma i flera olika former. Det kan till exempel röra sig om:

  • Felaktiga utskick av brev eller e-post som innehåller personuppgifter som oavsiktligt hamnat hos fel mottagare
  • Obehörig åtkomst, vilket innebär att någon olovligen berett sig tillgång till personuppgifterna, till exempel genom att behörigheter till ett IT-system har tilldelats felaktigt eller för generellt. Även så kallade phishingattacker är vanligt förekommande orsak till obehörig åtkomst.

Men varför sker dessa incidenter?

Incidenten går ofta att härleda till dessa fem delar:

  1. Ledningen
  2. Anställda
  3. System och processer
  4. Externa parter
  5. Externa och interna angripare

En separat del eller tillsammans med flera av dessa ovanstående, utgör ofta grunden till en incident.

Hur ska då en organisation agera för att förhindra dessa risker?

Ledningen

Ledningen är ofta en hörnsten i organisationens dataskydd (även om de inte sällan är omedvetna om detta). Eftersom de innehar en bestömmanderoll kommer ledningens medvetenhet och strävan mot ett effektivt dataskydd, att utgöra grunden för verksamheten och de anställdas utveckling inom området. Ledningen bör därför arbeta aktivt för att engagera och skapa medvetenhet inom resterade delar av organisationen. Det kan ske genom att dels förmedla tydliga riktlinjer och hjälpmedel, i form av till exempel policydokument (en ”guide” för identifiering och hantering av incidenter), samt genom digitala lösningar som förenklar verksamhetens arbete med dataskydd, exempelvis ett avvikelsesystem.

Anställda

Medarbetarna i organisationen har ett stort ansvar vid eftersträvan mot ett effektivt dataskydd, och inte minst förhindrandet av personuppgiftsincidenter. Det är därför väldigt viktigt att anställda får ta del av all dokumenterad vägledning rörande dataskydd, men också att organisationen investerar resurser i att utbilda anställda inom dataskydd, så att det lättare kan identifiera och förmildra incidenter. De anställda ska även om möjligt ha någon som de kan vända sig till och söka vägledning, exempelvis, en CISO, CIO eller dataskyddsombud.

System och processer

Den här delen innefattar inte uteslutande funktionen mellan hårdvara och mjukvara, utan hur system och processer är uppsatta med dataskydd i åtanke. Alla system och processer som innefattar någon form av personuppgiftsbehandling ska vara tydligt kartlagda och uppbyggda så att organisationen kan få en god insyn och kontroll över de personuppgiftsbehandlingar som förekommer inom er organisation. Säkerställ även att ni identifierar eventuella system och processer som medför eventuella risker. Känns riskbedömning och hantering av dessa främmande, ta då extern hjälp från konsulter specialiserade inom informationssäkerhetsrelaterade ledningssystem (”ISO 27000-serien”). Detta underlättar väsentligt det proaktiva arbetet vid flertal olika typ er av incidenter.

Externa parter

Den här delen kan delas upp i två delar. Den första delen rör era personuppgiftsbehandlande underleverantörer (era personuppgiftsbiträden). En organisation som innehar rollen som personuppgiftsansvarig måste ha en tydlig och kommunicerad kravställning mot dennes underleverantörer. Ni sätter ribban och underleverantörerna måste följa den (särskilt om ni bedriver verksamhet som kan kategoriseras som samhällskritisk). Säkerställ även att tydliga instruktioner överlämnats till underleverantören hur denne ska agera vid en identifierad incident, oavsett om de orsakat den själva eller enbart identifierat den. Detta görs lättast genom uppförandet av ett tydligt och utförligt personuppgiftsbiträdesavtal, där ni förmedlar de krav ni har, vilket ska undertecknas innan personuppgiftsbehandlingen inleds. Om ni anser att utformning och bedömning av biträdesavtal känns osäkert, ta då hjälp av en sakkunnig jurist.

Externa och interna angripare

Externa angrepp utgör enbart ca 10% av anmälda incidenter, dock är det inte ovanligt att dessa angripare upptäcks långt efter själva angreppet. Det bästa försvaret är ofta en kombination av samtliga ovanstående.

Interna angrepp, utförda av anställda är även förekommande. För att förhindra att detta sker rekommenderas er organisation att dels att uppföra tydliga sekretessförbindelser mellan de anställda och organisationen, samt att införa en välstrukturerad rutin för tilldelning av behörigheter inom era digitala miljöer (exempelvis inom ert intranät). Detta ska innefatta en motiverad tilldelning av läs-och skrivrättigheter. Det kan även starkt rekommenderas att förse dessa digitala miljöer med någon form av logg-övervakning (med förutsättningen att det inte medför att de anställdas integritet kränks)

Avslutningsvis

Om ni identifierar en incident anmäl den inom 72h till Datainspektionen. Om incidenten inte medfört någon risk för de registrerade (ägarna av personuppgifterna), ska organisationen alltid dokumentera händelsen och därmed lära ifrån avvikelsen, så att likande avvikelse inte sker i framtiden.

Tobias Granlund