Autofullføring av e-postadresser
I de fleste e-postsystemer kommer forslag til fullføring av adressen til mottakeren når man begynner å skrive. Dette er praktisk og noe man raskt blir vant til. Man skriver f.eks. fornavnet til kollegaen man skal sende e-post med interne dokumenter til, ser at navnet popper opp, og sender e-posten. Så viser det seg at e-posten gikk til en kunde med liknende navn.
Tiltak
Her er det flere tiltak som kan hjelpe. Det enkleste og mest effektive er å deaktivere auto-fullføring av e-postadresser i innstillingene for e-postsystemet.
Gode interne retningslinjer og å øke bevisstheten rundt problemstillingen er også nyttig, og for de som har muligheten til det vil det være tryggere å bruke CRM-system for å sende e-post, eller for å kopiere adressen man skal sende til når det gjelder ekstern kommunikasjon.
Tilgangsstyring
Et vanlig brudd på reglene handler om tilgangsstyring, altså ordninger man har for å sikre at det kun er de som har rettmessig adgang til å behandle opplysningene som kan få fatt i informasjonen. Ofte har virksomheter felles områder på datanettverket for lagring og utveksling av informasjon uten at det finnes nødvendige tilgangsbegrensninger. Om slik tilgangsstyring er på plass så kan likevel lagring skje på feil sted, eller at tilganger ikke blir oppdatert eller slettet.
Tiltak
Først, tilgangsstyring må på plass. Håndterer man personopplysninger er det svært sjeldent at absolutt hele virksomheten har lovlig og formålstjenlig grunn til å ha tilgang til dem. Videre så er rutiner mye av svaret. Ansatte kommer og går, og man bør ha en sjekkliste som inkluderer tildeling/fjerning av rettigheter for ansatte. Det finnes også tekniske løsninger som kan hjelpe til med dette, men dersom man ikke har slikt tilgjengelig så kommer man langt med å være ryddig i onboarding/offboarding og informasjon til ansatte.
Mangelfull sletting
Et vanlig personvernbrudd er mangelfull sletting av data. Dette skyldes ofte at informasjon blir liggende spredt i forskjellige systemer som e-post, nettverksmapper, og lokalt lagrede mapper. Uten et effektivt system for å spore og slette disse dataene, kan personopplysninger bli utilsiktet eksponert eller misbrukt, og lagringen i seg selv er ulovlig.
Tiltak
Problemet forsterkes av manglende rutiner for gjennomgang og sletting av gamle data, slik at dette bør være første steg om man ikke har det på plass. Innstillinger som begrenser de ansattes mulighet til å lagre data på annet enn “sine” mapper er nyttig og effektivt. For grupper som deler oppgaver vil fellesmapper med tilgangsstyring være løsningen. Opplæring og bevisstgjøring av ansatte er, som overalt ellers, viktig også her.
Sticos kan bidra med tips og råd, og også kurs for ansatte for å gi opplæring i de viktigste temaene. Anbefaler nettkurset: Innføring i personvern for ansatte.
