Hopp til innhold

3 vanlige personvernbrudd - og strategier for å unngå dem

I 2024 er personvern og informasjonssikkerhet komplisert. AI-verktøyene som er nyttige for oss er også til hjelp for kriminelle. Det er krevende å holde tritt med et stadig skiftende trusselbilde. Men de fleste personvernbruddene er kjente problemstillinger der risikoen kan reduseres. Vi fokuserer her på tre vanlige problemstillinger med tips til tiltak.

Autofullføring av e-postadresser

I de fleste e-postsystemer kommer forslag til fullføring av adressen til mottakeren når man begynner å skrive. Dette er praktisk og noe man raskt blir vant til. Man skriver f.eks. fornavnet til kollegaen man skal sende e-post med interne dokumenter til, ser at navnet popper opp, og sender e-posten. Så viser det seg at e-posten gikk til en kunde med liknende navn.

Tiltak

Her er det flere tiltak som kan hjelpe. Det enkleste og mest effektive er å deaktivere auto-fullføring av e-postadresser i innstillingene for e-postsystemet.
Gode interne retningslinjer og å øke bevisstheten rundt problemstillingen er også nyttig, og for de som har muligheten til det vil det være tryggere å bruke CRM-system for å sende e-post, eller for å kopiere adressen man skal sende til når det gjelder ekstern kommunikasjon.

Tilgangsstyring

Et vanlig brudd på reglene handler om tilgangsstyring, altså ordninger man har for å sikre at det kun er de som har rettmessig adgang til å behandle opplysningene som kan få fatt i informasjonen. Ofte har virksomheter felles områder på datanettverket for lagring og utveksling av informasjon uten at det finnes nødvendige tilgangsbegrensninger. Om slik tilgangsstyring er på plass så kan likevel lagring skje på feil sted, eller at tilganger ikke blir oppdatert eller slettet. 

Tiltak

Først, tilgangsstyring må på plass. Håndterer man personopplysninger er det svært sjeldent at absolutt hele virksomheten har lovlig og formålstjenlig grunn til å ha tilgang til dem. Videre så er rutiner mye av svaret. Ansatte kommer og går, og man bør ha en sjekkliste som inkluderer tildeling/fjerning av rettigheter for ansatte. Det finnes også tekniske løsninger som kan hjelpe til med dette, men dersom man ikke har slikt tilgjengelig så kommer man langt med å være ryddig i onboarding/offboarding og informasjon til ansatte.

Mangelfull sletting

Et vanlig personvernbrudd er mangelfull sletting av data. Dette skyldes ofte at informasjon blir liggende spredt i forskjellige systemer som e-post, nettverksmapper, og lokalt lagrede mapper. Uten et effektivt system for å spore og slette disse dataene, kan personopplysninger bli utilsiktet eksponert eller misbrukt, og lagringen i seg selv er ulovlig. 

Tiltak

Problemet forsterkes av manglende rutiner for gjennomgang og sletting av gamle data, slik at dette bør være første steg om man ikke har det på plass. Innstillinger som begrenser de ansattes mulighet til å lagre data på annet enn “sine” mapper er nyttig og effektivt. For grupper som deler oppgaver vil fellesmapper med tilgangsstyring være løsningen. Opplæring og bevisstgjøring av ansatte er, som overalt ellers, viktig også her.

Sticos kan bidra med tips og råd, og også kurs for ansatte for å gi opplæring i de viktigste temaene. Anbefaler nettkurset: Innføring i personvern for ansatte.

Hold deg oppdatert på relevant fagstoff

Våre nyhetsbrev inneholder aktueltsaker, produktinformasjon, invitasjoner til relevante kurs, seminarer og frokostmøter, samt gode råd og tips.