Nyheter

2022-05-05

GDPR 4 år senare och förebyggande av risker

Det är snart 4 år sedan GDPR trädde i kraft, SFM:s jurist Henrik Sandell ger en kommentar på vad som varit aktuellt den senaste tiden. Avsikten är att bjuda in till ett SFM-webinar i juni. Mer info kommer.

Det är snart 4 år sedan GDPR trädde i kraft. Företag som försäkrings­förmedlare behandlar personuppgifter för sina anställda och kunder och ska därmed följa GDPR.

Det finns mycket att ha koll på. Bland annat att föra ett register över de olika behandlingarna, ha rutiner för analys innan företaget börjar använda nya system, rutiner för hur man besvarar personer som ställer frågor om personuppgiftsbehandlingen, avtal med samarbetspartners och rutiner för incidenthantering och eventuell anmälan av incident till Integritetsskyddsmyndigheten (IMY), fd Datainspektionen.

Förmågan att hantera informationssäkerhetsrisker och hantera personuppgifter korrekt handlar ofta om mer än tekniska och kontraktuella åtgärder. Vid incidenter har det visat sig att det oftare handlar om

organisatoriska brister och att mänskliga faktorn utgör de största problemen.

Orsaker till incidenter

Sommaren 2021 kom en rapport från IMY som beskriver de anmälda personuppgiftsincidenterna senaste året. Mer än hälften av de ca 4600 anmälda incidenterna berodde på den mänskliga faktorn.

IMY lämnar i rapporten flera rekommendationer till marknaden för att bättre kunna förebygga incidenter och för att minska konsekvenserna vid inträffad incident.

Bland annat nämns vikten av rutiner för att upptäcka, dokumentera, anmäla och hantera incidenter. IMY rekommenderar att tekniska åtgärder också måste kompletteras med löpande utbildning för ökad medvetenhet. I de undersökning från 2019 som rapporten hänvisar till visade det sig att många nyanställda inte får en introduktion kring hantering av personuppgifter och ännu färre, endast 36 %, får löpande utbildning i hantering av personuppgifter och informationssäkerhet. Kontinuerlig information till medarbetare behövs. Bland annat kring rutiner för personuppgifter i e-post, hur personuppgifter hanteras i laptops och mobiler, vikten av att inte öppna länkar från okända avsändare mm. En annan rekommendation i rapporten behandlar vikten av god behörighetsstyrning. Den vanligaste orsaken till incidenter är obehörig åtkomst och obehörigt röjande. Bara för att en person är anställd på ett bolag har denne inte rätt att se alla slags personuppgifter som behandlas där. Det behövs tydliga rutiner för att behörigheter tilldelas rätt personer internt. Dessa behörigheter måste sedan löpande kontrolleras, följas upp och åtkomstkontroller ska göras.

Fler sätt att förebygga risker

Många verksamheter har behov av en gap-analys för att se om rätt rutiner är på plats, om de är rätt dokumenterade, om de behöver uppdateras och om de fungerar i praktiken. Många behöver även en nystart kring utbildning av personalen. Det har visat sig att många arbetsgivare fortsatt använder samma utbildningsmaterial som användes inför GDPR:s inträde 2018. Det betyder att utbildningarna delvis kan vara inaktuella, men även att de blir tråkiga för personalen att genomföra varje år. InsureEd är ett exempel på utbildningsinstitut som kan anlitas www.insureed.se

Även en övning i incidenthantering kan vara en viktig och även ha det som en återkommande aktivitet. Som komplement till instruktioner och utbildningar finns ibland tekniska lösningar att ta till för att upptäcka när personal gör fel. Det finns program som kan upptäcka om personal lägger upp personuppgifter i system där det inte får förekomma. Det kan röra sig om program som till exempel identifierar kombinationer av siffor som liknar personnummer.

Det är inte möjligt att ta höjd för allt. Att efter en incident kunna visa att den inträffat trots att åtgärder i linje med IMY:s rekommendationer har vidtagits kan, men det är inte självklart, eventuellt leda till mindre omfattande sanktioner. Skadan för registrerade personer, affärshemligheter och verksamhetens goda rykte kan dock ändå ha inträffat.

Här är en länk till IMY med exempel på typiska företagsfrågor

https://www.imy.se/vanliga-fragor-och-svar/?selectedSection=business

Kontakta info@sfm.se för frågor.