Jeg fikk et spørsmål om hvordan sensitive data håndteres i bedriften min. Jeg begynte derfor å undersøke litt hvordan sensitive opplysninger skal håndteres. Les mer om hva jeg fant ut av i denne teksten
Hva er sensitive data?
For å starte et sted tenker jeg å skrive litt om hva sensitive data egentlig er. For eksempel er helseopplysninger og fagforeningsmedlemskap ansett som sensitive opplysninger i følge datatilsynet. Dette er nok mest relevant dersom du driver egen bedrift, men det kan være greit å informere om at religiøs overbevisning, seksuell legning, politisk ståsted og lignende også kommer under denne kategorien.
Videre må man også se på hva som kan identifisere en person. Vi gir fra oss persondata over en lav sko i dagens samfunn. Vi stoler på at data lagres på en forsvarlig måte. For å sammenligne kan vi si at "dosen er giften". Alt er giftig, men det er mengden som avgjør. Epler og vann er også giftige i store mengder. Det samme gjelder personopplysninger. Navnet ditt er ikke nødvendigvis veldig spennende, men kombinert med andre opplysninger kan man finne ut ganske mye om en person. Vi gir daglig fra oss navn, mailadresse, fysisk aktivitet, hva vi handler i butikken og mye mer. Mye er ubevisst og mye er uproblematisk, men i feil hender kan alt samlet bli et problem.
Det jeg ønsker med dette er å få fram en bevissthet.
Hvordan håndterer man sensitive data og personopplysninger?
Det enkle svaret er at det ikke er en fasit her. Det jeg derimot har gjort er å se litt på hva ulike lønnsystemer, HR-systemer og andre praktiske digitale verktøy gjør med datalagring. Jeg bruker selv Notion, og det har noe av de høyeste sikkerhetskravene jeg har sett. Det støtter blant annet ISO 27001, ISO 27701, ISO 27017, ISO 27018,
BSI C5, GDPR og alt man ser for seg (oversatt til norsk: veldig bra sikkerhet). Jeg har derimot aldri tenkt tanken engang på å lagre sensitive data der. Ikke at jeg er skeptisk til sikkerheten i Notion, men det virker bare ikke som en fornuftig plass å lagre persondata på. Jeg begynte derfor å undersøke litt mer de store dyre regnskapssystemene og HR-systemene. De reklamerer jo for at de er sikre og koster mye. Da må det være bra!
Hva fant jeg ut når jeg begynte å undersøke sikkerheten til de HR-systemene og regnskapsprogrammene?
De har samme sikkerhetsproblemer som Notion og er derfor ingen egnet plass for å lagre sensitive data på. Helt ærlig har de som regel færre "sikkerhetssertifiseringer" enn Notion. De store leverandørene har akkurat samme kryptering som Notion, og ingen av de har ende-til-ende kryptering (E2EE). De er mer enn bra nok for vanlige opplysninger, men ikke egnet for å lagre sensitive opplysninger.
Jeg må innrømme at jeg ble litt skuffet da jeg oppdaget dette. Det betyr at du i utgangspunktet ikke bør lagre sensitive data verken i Notion, HR-systemer eller lønnssystem. En ting er å være åpen om det, men en helt annen ting er å selge seg inn med at data lagres trygt. Det er fort gjort å tro på det man får servert fra store seriøse aktører.
For å si litt om dette: E2EE er den mest fornuftige måten å lagre sensitive data på. Det betyr at det er kryptert og ingen fra utsiden har tilgang til dataen. I Notion og andre HR-systemer har man ikke denne funksjonen. Det gir en del begrensninger, så veldig praktisk er det ikke med E2EE. Det er derimot en "sikker" lagring. Jeg setter sikker i hermetegn, ettersom ingenting er 100% sikkert. Jeg snakker heller ikke ned verken Notion eller andre HR-systemer her ettersom det er gjort på en slik måte for å samtidig være praktisk og brukervennlig. En kryptert fil er sikker, men du får ikke åpnet den på en rask og praktisk måte. Så man må vurdere sikkerhet og brukervennlighet opp mot hverandre.
Hva bør man gjøre med sensitive data?
Det sikreste er sikkert å lagre kryptert data på en ekstern harddisk, legge den i en brannsikker safe og gjemme safen i et fjell. Selv da er du ikke 100% sikker. Sannheten er at så lenge man er koblet på internett eller bruker et eller annet system vil du aldri være 100% trygg mot misbruk av data. Det må nemlig også være praktisk, og tilgjengelig.
En god start er å ikke lagre ting du ikke har bruk for. Enkelt og greit. Får du en sykmelding med diagnose fra en ansatt, så bør den makuleres med en gang. Det er ikke noe du som arbeidsgiver har behov for(eller har rett på å vite for den sags skyld - men mange deler frivillig helseopplysninger). Får du en mail om diagnose kan du like gjerne slette den.
Det neste er tilganger. Hvem har behov for hva? Ikke gi unødvendige tilganger til flere enn nødvendig. Dette er også ganske enkelt. Alle ansatte har ikke behov for å ha tilgang på Altinn for eksempel.
Er du nødt til å oppbevare data om folk bør du i det minste kryptere filen før lagring. Det finnes flere gode verktøy du kan bruke for å kryptere data på som lagres relativt sikkert. Man kan derfor først kryptere, deretter laste opp i HR-systemet eller lignende.
Praktisk tips for å håndtere personopplysninger og sensitive data
- Ikke lagre mer enn du har behov for. Har du en bedrift med 10 ansatte, kan man gå utfra at du vet hvem Per, Pål og Espen er. Ikke lagre mer om de enn nødvendig. Har du 10.000 ansatte er saken en helt annen, men der har man også et helt annet budsjett for å håndtere sikkerhet.
- Bruker du Excel, word, mail eller Notion i bedriften din for å lagre ting? Igjen, ikke lagre mer enn du faktisk har behov for. Husk at jo flere opplysninger om en person, jo lettere er det å misbruke. Krypter gjerne filen din!
-Sett deg inn i regler og beste praksis for å håndtere personopplysninger og personvern. Du bør ha en gjennomgang om dette med alle ansatte slik at alle har et bevisst forhold til dette. Lag en oversikt (gjerne i personalhåndboken også) for hvordan man lagrer kundedata og persondata.
- Praktiske hensyn må også gjelde. Vær så sikker du klarer, men jeg skal sette penger på at du ikke klarer å huske alt i hodet. Det å lagre en kontakt på eposten din er ingen problem. Det å ha et telefonnummer på telefonen er også uproblematisk.
- Lag gode avtaler. Ha taushetserklæringer for dine ansatte og skriv datalagringsavtaler med eksterne. Dette sikrer deg juridisk.
- Datatilsynet har info om det meste du trenger å vite.
- Ellers gjelder sunn fornuft. Ikke la informasjon om ansatte ligge framme på disken i butikken din, ikke snakk høyt på bussen om hvem som er syk. Tenk "enn hvis" hele tiden...Enn hvis noen får tak i dette dokumentet? Enn hvis det blir tilsyn på arbeidsplassen? Det å være proaktiv er smart når det handler om sikkerhet.
Legg til kommentar
Kommentarer