Experten: Så maximerar du kundernas dataskydd

Extremt höga förväntningar på personlig integritet och personuppgifter som betraktas som en valuta. För att få nöjda kunder måste man idag hantera persondata på rätt sätt – och att endast uppfylla lagkraven räcker inte. Juristen Anna Mirsch Peiris ger sina bästa tips på hur man säkerställer ett bra dataskydd.

Marknadstrender IT-säkerhet

Mängden data som skickas inom och mellan organisationer ökar konstant. Samtidigt har dataskydd (skydd av den personliga integriteten) blivit en allt viktigare fråga jämte datasäkerhet (skydd av datorsystem) både för konsumenter och samarbetspartners.

Anna Mirsch Peiris, jurist och dataskyddsombud på Kivra. Anna Mirsch Peiris, jurist och dataskyddsombud på Kivra.

– Förväntningarna kring dataskydd är idag extremt höga på företag som hanterar konsumenters data, framförallt känsliga uppgifter om exempelvis hälsa, säger Anna Mirsch Peiris, jurist och dataskyddsombud på Kivra, vars roll är att kontrollera att GDPR följs och persondata hanteras korrekt inom organisationen.

Att dataskydd ligger i tiden märks bland annat i media, menar Anna Mirsch Peiris, där frågan blivit en del i den dagliga debatten. Samtidigt har personuppgifter blivit mer värdefulla i lagstiftningen.

– Personuppgifter betraktas nu som en valuta. Ett tydligt exempel på det är att det infördes en ändring i konsumentköplagen där personuppgifter nu nämns som ett betalningsmedel för tjänster.

Uppfyll förväntningarna kring dataskydd

Vad man behöver göra som organisation för att uppfylla förväntningarna från kunderna beror på vilken typ av bolag man är. Ett mindre produktionsbolag behöver kanske inte ha en större organisation för dataskydd. Då kan det räcka att man sätter sig in i vad som gäller för bolaget kring lagar och förväntningar, och sedan sätta upp processer och rutiner för dataskydd som man därefter ser över när det kommer nya lagkrav. Men stora organisationer, framförallt de som förändras mycket, har en större utmaning.

Anna Mirsch Peiris har flera tips på hur man bygger sin organisation för ett säkert dataskydd:

Tillsätt en expertgrupp kring dataskydd och -säkerhet

För att ha kapacitet att kunna samla in helhetsbilden över hanteringen av personuppgifter så måste det finnas experter inom juridiskt dataskydd, som kan lagar och regler, samt experter inom teknisk datasäkerhet, som kan hantera det praktiska säkerhetsarbetet. Expertgruppens uppdrag är att sätta upp processer och rutiner kring dataskydd. Gruppen är dock inte en drivande part – de ska endast vara stöd åt organisationen och underlätta arbetet för andra – de ska göra sig själva så umbärliga som möjligt.

Identifiera relevanta lagar och regler

För att kunna uppfylla förväntningar från kunderna så måste du först känna till de lagar och regler som gäller på de marknader du verkar. I länder utanför EU/EES finns det inte nödvändigtvis en generell dataskyddslag, utan det kan regleras via olika lagar – och det kan variera från sektor till sektor inom ett land. Inom EU/EES finns det tre viktiga punkter att tänka på:

  • GDPR – gäller för all användning av personuppgifter.
  • ePrivacy – gäller särskilt när personuppgifter används på nätet.
  • Lagar och regler som är specifika för en viss sektor, såsom hantering av patientuppgifter inom hälso- och sjukvården.

Identifiera rådande dataskydds-kultur

Förutom den legala biten behöver man även veta hur det fungerar rent kulturellt på den marknad där man agerar. Kulturen kring dataskydd kan nämligen skilja sig åt väldigt mycket. I Sverige har vi haft en offentlighetsprincip i många hundra år, vilket gör svenskarna förhållandevis liberala kring hur personuppgifter används. Men i andra länder har man inte alls samma syn, och då gäller det att känna av pulsen på marknaden – annars riskerar man skapa negativa upplevelser hos sina kunder.

Fördela dataskydds-ansvaret i hela organisationen

Det går inte att förlita sig på att en liten expertgrupp kring dataskydd ska ha koll på allt som pågår i bolaget. Om endast expertgruppen arbetar med dataskyddsfrågor så kan det även uppstå problem vid organisations- eller personalförändringar, om exempelvis ett dataskyddsombud slutar. Därför behöver dataskydds-ansvaret distribueras över hela organisationen, där olika medarbetare får tydliga dataskydds-roller. I större organisationer räcker det inte att en person på varje avdelning får detta ansvar, det kan behövas fler ansvariga än så. Exempelvis kan varje produktägare hålla koll på personuppgiftshantering i sin produkt. Ett sådant upplägg gör att det går snabbt att samla ihop helhetsbilden av den persondata som hanteras, när så behövs.

Utbilda samtliga medarbetare i dataskydd

I en stor organisation har alla ett eget ansvar att förstå att de hanterar personuppgifter, och hur dessa ska och får hantera. Tanken är inte att alla ska bli dataskyddsexperter, men alla måste förstå vad de ska ha koll på, och de ska veta vad de gör med personuppgifterna, varför de gör det och hur länge uppgifterna sparas.

Säkerställa transparens mot kunden

De juridiska kraven på information om dataskydd kan, rent formellt, ofta uppfyllas med ett enda dokument med information om dataskydd. Men väldigt få konsumenter läser sådant dokument. Om man endast använder det – och inte är tydlig med hur personuppgifterna kommer att användas genom utformningen av tjänsten eller produkten – så kan det ge en negativ överraskning för konsumenten. Så långt möjligt bör man därför vara transparent och tydlig med vad som händer med personuppgifter i själva tjänsten eller produkten.

Utveckla endast tjänster som alla intressenter vill ha

För att undvika negativa användarupplevelser så behöver man säkerställa en balansgång mellan olika intressenters intressen.  I exempelvis Kivras fall handlar det om avsändarna respektive mottagarna. Avsändarna vill ofta ta del av data hur användarna interagerar med försändelser. Samtidigt vill mottagarna själva kontrollera vem som får information om hur de använder Kivra. För att klara denna balansgång arbetar Kivra enligt en strategi de kallar Happy-happy. Det innebär att de ständigt utvärderar potentiella nya tjänster och produkter gentemot alla intressenters behov, och endast utvecklar dem som ligger i allas intresse – både avsändarna och mottagarnas.

Minimerar användningen av personuppgifter.

Att inte hantera personuppgifter i onödan är inte bara ett krav enligt GDPR. Det underlättar även för organisationen och minimerar risken för att kunderna ska känna sig otrygga. Ett exempel på uppgiftsminimering hos Kivra är att bolaget aldrig läser in innehållet i en försändelse såvida det inte krävs för en specifik funktion, såsom om användaren vill söka i ett kvitto.

 


Tre huvudprinciper för dataskydd

För att säkerställa ett säkert dataskydd så finns det tre huvudprinciper man bör följa:

  1. Detaljerad och konstant kontroll. Man måste på ett enkelt sätt kunna få ut information om vilka personuppgifter som används och till vad, både för interna syften och för att man ska kunna lämna ut information enligt GDPR.
  2. Integritet genom design. Systemet måste byggas med interna accesskontroller så att anställda inte ska ha tillgång till mer data än vad de behöver för att lösa sitt jobb. Man ska även alltid kunna visa att man inte samlar in mer personuppgifter än man sagt att man gör.
  3. Säkerhet mot fel samt angrepp. Säkerheten måste vara hög mot både interna och externa angrepp. Samtidigt måste det finnas säkerhetskopior som skydd mot felaktiga raderingar.

Inspiration och fördjupning

Åke Andersson, Information Security Officer på PostNord Strålfors

”ISO är som en liten bibel för oss”

Varje dag passerar enorma mängder data PostNord Strålfors system. Ytterst ansvarig för informationssäkerheten är Åke Andersson. - Det är många som pratar om cybersäkerhet idag, men det har varit en central fråga för PostNord Strålfors länge.