Säkerhet
GDPR ställer höga krav på säkerhet inom företag och organisationer!
Inom er organisation finns sannolikt flera typer av information som är känslig av olika skäl. Företagshemligheter är ett exempel, personuppgifter ett annat. Att sådan information behöver skyddas genom olika åtgärder är inget nytt eller främmande.
I GDPR ställs krav på att personuppgifter ska skyddas genom lämpliga tekniska och organisatoriska skyddsåtgärder. Valet av skyddsåtgärder ska baseras på en analys av hur känsliga uppgifterna är och vilka risker som finns. Säkerhetsnivån ska alltså vara riskbaserad.
Målet med säkerhetsarbetet
Målet med säkerhetsarbetet är att skydda personuppgifterna så att ingen obehörig kommer åt dem och att de inte används på ett otillåtet sätt. Ni som behandlar personuppgifter har också en skyldighet att se till att personuppgifter inte går förlorade eller förstörs, till exempel genom olyckor eller slarv.
Tekniska och organisatoriska åtgärder
Dataskyddsförordningen delar in säkerhetsåtgärderna i tekniska och organisatoriska åtgärder. Tekniska åtgärder inkluderar till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och antivirusskydd. Organisatoriska åtgärder omfattar t.ex. utbildning, interna rutiner, instruktioner och riktlinjer.
En lämplig nivå
All information behöver inte skyddas – det kan bli väldigt dyrt och komplext att skydda information som egentligen inte behöver extra säkerhetsskydd – men det finns också information som kräver högsta nivå av säkerhet. Det gäller att hitta rätt nivå för just den typen av information som ska skyddas. Att säkerhetsklassificera era informationstillgångar är därför en förutsättning för ett bra säkerhetsarbete.
Sanktion på 35mkr för bristande säkerhet hos Trygg hansa
Denna artikel tar 1 min att läsa och innehåller även videos, mallar och annat användbart material.
🚨 Trygg-Hansas säkerhetsbrister ledde till att känslig hälsodata om 650 000 kunder blev tillgänglig online. Integritetsskyddsmyndigheten (IMY) utfärdar en saftig sanktion på 35 miljoner kronor! 😱 IMY agerade efter ett tips. Efter utredning konstaterades en brist som gjorde det enkelt att komma åt andra försäkringstagares dokument via manipulerade länkar. 🏥
Ladda ner beslutet här: Beslut om sanktion mot IMY aug 2023
GDPR
- GDPR
- 3.1.1 Laglig grund
- 3.1.2 Information till registrerade
- 3.1.3 Den registrerades rättigheter
- 3.1.4 Behandlingsregister enligt art 30
- 3.1.5 Incidenter
- 3.1.6 Säkerhet
- 3.1.7 Styrning & kontroll
- 3.1.8 Utbildning
- 3.1.9 Gallring
- 3.1.10 Konsekvensbedömning (DPIA)
- 3.1.11 Överföring av personuppgifter till annan part
- 3.1.12 Inbyggt dataskydd & dataskydd som standard
- 3.1.13 Dataskyddsombudsrollen