gdpr ett år senare
vikten av utbildning
I Datainspektionens nationella integritetsrapport 2019 visade det sig att 57% av inrapporterade incidenter berodde på den mänskliga faktorn. Datainspektionen hade då fått in drygt 4300 personuppgiftsincidenter i Sverige.
Allt kan inte lösas enbart med utbildning men det är en viktig faktor i kombination med god behörighetsstyrning, bra rutiner samt tekniklösningar.
Fakta från rapporten
- Den faktorn som är vanligast kring personuppgiftsincidenter är den mänskliga faktorn, 57% följt av illvilja, antagonistiska angrepp som står för var sjunde anmälan.
- Var sjätte medborgare har redan använt någon av GDPR-rättigheterna. Det visar att det är en viktig fråga för många hur deras personuppgifter används.
- Tre av fyra företag och myndigheter tycker att GDPR-implementeringen har gått bra.
- Samtidigt bedömer bara hälften av verksamheterna att de har ett kontinuerligt och systematiskt arbete med dataskydd.
- När personer som intervjuats har fått svara på vilken information de anser sig mest oroliga över har det oftast handlat om finansiella uppgifter och hälsouppgifter.
- Strax över hälften uppger mycket eller ganska stor oro över att kriminella eller andra obehöriga kan komma åt uppgifter.
- En annan stor oro är att internetvanor och surfbeteende ska registreras och säljas vidare till andra företag för reklamanpassning.
rekommendationer i rapporten
- Grundläggande åtgärder är till exempel att alltid kontrollera att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, att använda funktionen dold kopia (bcc) vid utskick som ska till flera mottagare samt att använda e-post som är skyddad medkryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
- Om personuppgifter lagras på flyttbara media som är särskiltsårbara för stöld eller förlust – till exempel usb-minnen, bärbara datorer och mobiltelefoner – bör informationen krypteras så att ingen obehörig kan ta del av den.
- För att förebygga antagonistiska angrepp förtjänar det att påminna om vikten av information om att inte öppna länkar eller bifogade filer från okända avsändare.
- En central del i arbetet med informationssäkerhet och dataskydd handlar om behörighetsstyrning. Alla organisationer som hanterar personuppgifter behöver ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
- Den stora andelen incidenter som uppges bero på den mänskliga faktorn understryker betydelsen av att styrdokument och tekniska informationssäkerhetsåtgärder kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.
GDPR, cybersäkerhet & informationssäkerhet
Vid närmare granskning av rekommendationerna från Datainspektionen är det tydligt att utbildning är av största vikt. Både vad gäller kunskap om externa cyberhot, interna rutiner och generell informationssäkerhet.
Caroline Forssblad
Säkerhetsexpert med fokus på att kompetensutveckla företag inom säkerhetsområdet.