Hvorfor er det vigtigt at have styr på sine ustrukturerede data?
Vi har dem allesammen. De ustrukturerede data. De findes i mails, fildrev, chatsystemer, videoarkiver, fysiske løsark mm. De ustrukturerede data gemmer ofte på mange følsomme persondata, og er man ikke tilpas omhyggelig med at få dem håndteret efter gældende GDPR-principper, kan det have store konsekvenser for organisationen.
Hvad er ustrukturerede data?
Ustrukturerede data er egentlig det meste af den data, der findes i verden, og flere store undersøgelser har vist, at omtrent 80-90% af verdens data er ustrukturerede.
Kort og godt er ustrukturerede data al den data, der ikke er organiseret på en bestemt måde. For eksempel e-mails, chat-beskeder og PDF-dokumenter, der er placeret på forskellige drev samt indlæg på sociale medier, billed- og videoarkiver mm.
Grundet et ikke-eksisterende overblik kan ustrukturerede data i sig selv skabe rod i systemerne, hvor manglende dokumentation og lav datakvalitet kan give problemer. Derfor er det selvfølgelig at foretrække at have mest muligt placeret i fagsystemer og databaser.
Derudover kan ustrukturerede data indeholde mange forskellige følsomme persondata, som kan være svære at spore og finde frem til, fordi de – i sagens natur – er ustrukturerede og svære at kategorisere. Det gør især oprydningsarbejdet svært, og her risikerer man blandt andet, at man ikke får slettet alt, der bør slettes efter gældende GDPR-lovgivning.
Eksempler på følsomme persondata i ustrukturerede data
Hos Magenta har vi scannet mange organisationer for personoplysninger af forskellig art med vores datascanner. Vores erfaring er, at den største synder typisk er mails, hvor der ofte gemmer sig CPR-numre, sygdomshistorikker, diagnoser og den slags. Nogle er sendt rundt internt i en organisation, mens andre er sendt til og fra borgere og kunder.
Et andet typisk eksempel er ansættelseskontrakter, sygemeldinger osv., der ofte sendes rundt i et ledelseslag og til/fra en HR-afdeling.
Er du i tvivl om, hvilke persondata der er følsomme? Læs mere om dette her: Hvor gemmer der sig typisk følsomme data?
Datatilsynet råber vagt i gevær
I foråret 2024 iværksatte Datatilsynet et tilsyn hos 48 kommuner omhandlende behandlingssikkerhed, og her viste det sig også, at mange har følsomme persondata liggende de forkerte steder (Kilde: Datatilsynet).
På baggrund af resultaterne lavede Datatilsynet en målrettet vejledning til kommunerne vedrørende disse fem tendenser, hvor der var et behov for øget fokus:
- Procedurer for sletning
- Foranstaltninger som skal sikre, at der ikke sker utilsigtet deling af personoplysninger i forbindelse med udgående mails
- Rettighedsstyring
- Konsekvensanalyse
- Domænesikkerhed
Læs mere her: Cybersikkerhed i kommunerne – vi er fortsat et stykke fra at være i mål
Tilsynet omhandlede kommunerne, men vores erfaring er også, at der er (mindst) ligeså store udfordringer med følsomme persondata i private virksomheder.
Så det er bare med at komme igang med oprydningen.
Hvad er konsekvenserne ved følsomme persondata i ustrukturerede data?
Der er store konsekvenser for både kommuner og private virksomheder, hvis man ikke håndterer sine følsomme persondata på en hensigtsmæssig måde, og eksempelvis ikke får dem slettet på behørig vis. Vi har listet nogle af dem her. Listen er ikke udtømmende, men et overordnet bud på konsekvenserne:
- Påbud og bøder:
Overtrædelse af reglerne kan føre til påbud og store bøder fra Datatilsynet og andre tilsynsmyndigheder.
- Risiko for identitetstyveri og misbrug af oplysninger:
Dårlig håndtering af persondata kan føre til datalæk, hvor uvedkommende får adgang til informationer som CPR-numre, sundhedsdata mm. Det kan bruges til identitetstyveri, svindel og chikane.
- Retssager og kompensationskrav:
Hvis ens personoplysninger er blevet kompromitteret, kan der søges kompensation, hvor organisationer kan blive mødt med dyre retssager, som kan medføre store udgifter og et langvarigt juridisk efterspil.
- Intern omkostning ved udbedring af skader:
Hvis et datalæk sker, vil organisationen ofte skulle bruge ressourcer på at begrænse skaden, opdatere sikkerhedsprotokoller, træne medarbejdere og håndtere PR. Det kan være en dyr proces at gøre på bagkant, som kan belaste de daglige driftsomkostninger og kræve meget intern kapacitet.
- Tab af data og mulig driftshindring:
I visse tilfælde kan dårlig datahåndtering føre til hacking eller tab af vigtige data , som kan gøre systemer utilgængelige i en periode (fx ransomware-angreb). Dette kan forstyrre driften og være kritisk, især i kommunale sektorer, hvor borgerne er afhængige af offentlige tjenester.
- Tab af tillid og troværdighed:
Når følsomme data ikke håndteres forsvarligt, kan det føre til tab af tillid blandt borgere, kunder og samarbejdspartnere. Det kan påvirke organisationens omdømme negativt, hvilket kan være svært at genopbygge – for hvordan opbevarer man dataene fremover? For private virksomheder kan dårligt omdømme og mistillid fra kunder påvirke konkurrenceevnen, da man i højere grad vælger virksomheder, der har styr på sikkerheden.
- Psykologisk utryghed for de berørte:
For borgere og kunder kan et datalæk i værste tilfælde føre til psykologisk belastning, bekymring og stress, især hvis følsomme oplysninger (som sundhedsoplysninger eller økonomiske data) bliver offentligt tilgængelige eller misbrugt.