Dataskyddsförordningen och kryptering
Dataskyddsförordningen definierar vad som är personuppgifter. Detta inkluderar namn och efternamn, fotografier, e-postadresser, telefonnummer, kontonummer, fingeravtryck och röstprov. Denna förordning, som gäller i alla EU:s medlemsstater sedan 25 maj 2018, betecknar kryptering som en skyddsåtgärd mot ryktesrisker.
Tänk om någon anställd skulle tappa bort en USB-sticka som innehåller en lista över era kunder. Enligt dataskyddsförordningen ska ni informera alla personerna på listan om incidenten. De kan betrakta detta dataintrång som ett skäl att byta till annan leverantör. Men skyldigheten att informera dessa personer gäller inte om deras personuppgifter var krypterade.
Vet du vad du ska göra om ditt företag har läckt personuppgifter?
Skyldighet att meddela tillsynsmyndigheten:
Du måste rapportera alla personuppgiftsbrott till berörd dataskyddsmyndighet. Denna skyldighet gäller inte bara större incidenter, såsom stora databasläckor, utan även för mindre misstag. Om du till exempel skulle råka förväxla innehållet i kuverten till två olika mottagare måste du rapportera detta.
72 timmar
Du måste informera den berörda tillsynsmyndigheten om händelsen inom 72 timmar från när ni blev medvetna om den, alltså inte från när händelsen inträffade. Men om tidsfristen inte följs måste anledningen till den försenade aviseringen (alltså skälet till att överträdelsen inte rapporterades inom 72 timmar) förklaras.
Plikt att informera berörda personer
I allvarligare fall måste ni, förutom att meddela dataskyddsmyndigheten, även informera de individer, vars uppgifter påverkades av händelsen. Detta steg krävs dock inte om incidenten inträffade efter att företag implementerat lämpliga tekniska och organisatoriska säkerhetsåtgärder, särskilt sådana som innebär att personuppgifterna inte går att läsa av obehöriga personer. Den någorlunda komplicerade juridiska term ”tekniska åtgärder” avser kryptering.
Möjliga bötesbelopp enligt dataskyddsförordningen
Underlåtenhet att fullgöra skyldigheten att rapportera ett dataintrång till berörd tillsynsmyndighet bestraffas med böter på upp till 10 miljoner euro men, för företag, maximalt 2 procent av dess årliga globala intäkter från föregående räkenskapsår . Utöver de stora bötesbeloppen kan dataskyddsmyndigheten även besluta om följande:
- en tillfällig eller permanent begränsning, eller till och med förbud mot behandling av personuppgifter
- radering av personuppgifter
Det innebär att du antingen kan förlora kontaktuppgifterna för alla befintliga kunder, eller att företaget tillfälligt kan förbjudas att lagra sådan information.
Dataintrång påverkar företag av alla storlekar
Många företag tror att de inte är sårbara för cyberattacker eller dataintrång för att de är så små och bara har begränsade tillgångar. Tyvärr är det inte så: enligt analytikerfirman IDC faller små och medelstora företag offer i mer än70 procent av säkerhetsöverträdelser. Men den goda nyheten är att företag inte behöver rapportera cyberattacker om inga personuppgifter har äventyrats eller läckt ut.
På grund av den felaktiga känslan att inga andra företag utsätts för cyberattacker kan företag skämmas eller vara rädda för negativ uppmärksamhet om de skulle rapportera en attack.
ESET:s intryck under det första året efter det att dataskyddsförordningen trädde i kraft, fortsatte tillsynsmyndigheterna i Europa att bekanta sig med de nya reglerna. Nu är det troligt att de kommer att utdöma böter i fler fall.
Dock visar erfarenheten att om drabbade företag samarbetar tenderar de att få mildare straff. Dessutom verkar som att om ditt företag inte är något jätteföretag på internet är det inte troligt att ni får det maximala bötesbeloppet.
Därför rekommenderar vi alltid organisationer att de ska följa anmälningsskyldigheten, samarbeta med tillsynsmyndigheterna och utbilda sina anställda om vad som är personuppgifter och hur de ska skyddas.
Krypteringslösningar från ESET
ESET Endpoint
Encryption
ESET Endpoint Encryption skyddar känsliga uppgifter på företagets enheter med hjälp av kryptering. Systemet krypterar filer och mappar, e-post och bilagor, flyttbara lagringsmedier, virtuella diskar och även hela hårddisken. Lösningen är lätt att använda, erbjuder fullständig fjärrhantering av krypteringsnycklar och behöver inte distributionsserver. Prova utan kostnad i 30 dagar med ESET Endpoint Encryption i ert företag.
Läs mer
