Derfor gælder datasikkerhed også for mindre organisationer
Når Datatilsynet udsteder klager eller bøder, rammer det ofte de større organisationer, hvorimod mindre organisationer ofte går under radaren. Dette kan muligvis skyldes, at mindre organisationer tiltrækker mindre opmærksomhed og har færre kunder, der indsender klager. Det betyder dog ikke, at reglerne for datasikkerhed og GDPR ikke gælder for dem. Derfor er det også vigtigt, at man i mindre, såvel som store organisationer, har et klart overblik over, hvad reglerne indebærer, og hvilke procedurer der er nødvendige for, at de kan blive overholdt.
I mindre organisationer er der sjældent ansat en decideret datasikkerhedsansvarlig, og opgaven gives derfor som regel til en medarbejder, som hverken har nok ressourcer eller interesse i datahåndteringen. Dette kan gøre datahåndteringen udfordrende og frustrerende, da det ikke er medarbejderens første prioritet. Uanset organisationens størrelse er det dog afgørende at have en korrekt datahåndtering, og det er der et par grunde til:
For det første styrker en korrekt datahåndtering både kunders og samarbejdspartneres tillid til organisationen og bidrager til et positivt image.
For det andet kan uhensigtsmæssig håndtering af data resultere i mistillid eller klager til Datatilsynet, hvilket i værste fald kan føre til sanktioner, såsom påbud, kritik, forbud og bøder. Selvom der er en lavere sandsynlighed for, at Datatilsynet udfører stikprøver hos en mindre organisation, forekommer det stadig. Dette gør det blot endnu vigtigere at sikre overholdelse af GDPR.
De mange regler og retningslinjer for databehandling og -håndtering kan forekomme uoverskuelige. Derfor har vi her samlet tre konkrete problemstillinger, som dataansvarlige kan møde – også i de mindre organisationer:
I de fleste organisationer vil der være ansøgninger, som modtages på mail og opbevares et sted i mailindbakken. Da ansøgninger indeholder personoplysninger, er det en vigtig opgave for den dataansvarlige at opbevare de relevante ansøgninger rigtigt. Det indebærer bl.a. at få slettet de ansøgninger, som ikke længere er relevante. Datatilsynet anbefaler, at ansøgninger ikke opbevares i mere end tre år, medmindre der er en gyldig begrundelse, hvor det vigtigste er, at den dataansvarlige kan dokumentere, hvorfor data opbevares i den periode, de er gemt (Kilde: Datatilsynet).
I GDPR-reglerne understreges vigtigheden af personoplysningers fortrolighed, og det er organisationens ansvar at sikre, at disse ikke går tabt. Med andre ord skal den dataansvarlige sørge for, at personoplysninger opbevares og håndteres korrekt og kun er tilgængelige for medarbejdere, der har et arbejdsrelateret behov for adgang.
Derfor er det også vigtigt, at en organisation holder styr på, hvilke medarbejdere der har adgang til hvilke data. Det er for eksempel ikke ansvarligt, hvis en studentermedarbejder i marketingafdelingen har adgang til en jobansøgning sendt til HR. Disse adgangsrettigheder afhænger ofte af it-systemet, og det er derfor vigtigt at have dette in mente, når organisationen skal opdatere eller forny sådan et it-system (Kilde: Datatilsynet).
I Magenta ved vi, at 85% af følsomme personoplysninger bliver opbevaret i mailsystemer – det ved vi, fordi vi har scannet over 1 milliard objekter med OSdatascanner. Disse data kan nemt blive glemt eller overset i det daglige arbejde, og det er derfor en vigtig opgave for den dataansvarlige at skabe procedurer for oprydning af organisationens data. Det er eksempelvis vigtigt at identificere, hvilke CPR-numre der ligger i en mailindbakke og sørge for, at der bliver ryddet op i dem, så de ikke bliver opbevaret for længe og forkert. For eksempel anbefaler Datatilsynet, at det kan være en god praksis at scanne mailindbakker hver anden uge for at sikre, at ingen data bliver overset eller opbevaret længere end nødvendigt (Kilde: Datatilsynet).
Disse tre eksempler på håndteringen af GDPR er selvfølgelig ikke udtømmende for alt, hvad en dataansvarlig skal have styr på i en organisation. Dog kan de forhåbentligt gøre det nemmere at tage det næste skridt i retningen mod en mere overskuelig og korrekt overholdelse af GDPR.