[ Annons ]

Säkerhetsexperter i USA upptäckte att när Hello Barbie var ansluten till wifi gick det att via dockans mikrofon komma åt känslig information. Foto: Mark Lennihan/TT
Publicerat 22 november, 2016

Lätt att komma över känsliga personuppgifter

När till och med barnens dockor kan hackas för att göra en id-stöld är det lätt att inse att det digitala skyddet kan behöva stärkas. Den 25 maj 2018 börjar EU:s nya dataskyddslag att gälla. Det är hög tid att se över personuppgiftshanteringen.

När barnet pratar med sin nya docka Hello Barbie lagras konversationen i molnet och analyseras. Utifrån informationen kan dockan prata med sin ägare. Men barnets nya leksak kan också utföra en it-attack. Experter på datasäkerhet har redan lyckats hacka dockan och visat att det går få access till hemmanätverket.

[ Annons ]

Hans Graah-Hagelbäck, säkerhetsspecialist på it-säkerhetsföretaget Sourcecom, tar exemplet med världens första interaktiva docka för att belysa hur lätt det numera kan vara att komma åt känsliga personuppgifter. Allt mer information har digitaliserats och hanteras på nya sätt. Därmed har risken och förekomsten av id-stölder, bedrägeri, diskriminering och finansiella förluster ökat. När Sourcecom arbetar med fastighetsbolag som kunder handlar uppdragen ofta om it-säkerhet i automationssystem.

20
Företag som inte uppfyller den nya dataskyddslagen kan riskera upp till 20 miljoner euro i böter. Den 25 maj 2018 börjar förordningen gälla.

– De här systemen är ofta helt eller nästan helt oskyddade. Konsekvenserna kan bli stora för de boende om någon obehörig skulle styra fastighetens värme, ventilation eller låssystem. Men ett fastighetsbolag hanterar också personuppgifter. Hans Graah-Hagelbäck menar att det största hotet mot företagen är medarbetarna själva.

– Det är genom slarv som intrång blir möjliga.

Alla användare bör ha en årlig informationssäkerhetsutbildning för att förstå vad man ska tänka på.

I vilken ände tar man sig då an en IT-översyn?

– Det bästa är att ta in någon sån som oss för att göra en så kallad GAP-analys, en simulerad attack för att upptäcka säkerhetshål. Följ upp analysen med löpande arbete. IT-säkerhet är inget engångsjobb utan något man behöver arbeta med kontinuerligt, säger Hans Graah-Hagelbäck.

Det är utifrån behovet av ett ökat dataskydd för privatpersoner som den nya EU-förordningen ska ses.

– Digitalisering och integritetsskydd går hand i hand. Det är omöjligt att på ett ändamålsenligt sätt hänga med på en ökad digitaliseringstrend utan att ha en tanke på hur integritetsarbetet ska bedrivas, säger Line Zandén, jurist på Fastighetsägarna Sverige.

Men för den som idag redan har en helt perfekt hantering enligt personuppgiftslagen (PUL) blir det en relativt enkel övergång till den nya förordningen, som går under benämningen GDPR (The General Data Protection Regulation).

– Det kan handla om att uppdatera riktlinjer och interna mallar, ta till sig de nyheter som förordningen medför och framförallt dokumentera de rutiner man har.

Men vet man med sig att man förbisett personuppgiftshanteringen bör en översyn inledas på en gång.

– Då får man åtminstone kontroll över vad som behöver göras, säger Line Zandén.

Den som inte sköter sig kan riskera kraftiga böter – upp till 20 miljoner euro.

3 STORA FÖRÄNDRINGAR

shutterstock_427960789-bw-tryck

DOKUMENTATION

Större vikt läggs vid att den personuppgiftsansvariga ska kunna visa att förordningen följs. Således bör alla som hanterar personuppgifter ha interna riktlinjer för hur bolaget säkerställer att reglerna följs. Personuppgifter i ostrukturerat material (till exempel löpande text på webbsidor) ska nu behandlas enligt samma regler som personuppgifter i strukturerade databaser.

shutterstock_318201635-tryck

INCIDENTRAPPORTERING

Vid misstanke om dataintrång eller incident som kan ha inneburit förlorad kontroll av personuppgifter måste detta anmälas inom 72 timmar till de personer som riskerar att vara drabbade. Är incidenten allvarlig ska också Datainspektionen underrättas inom samma tidsrymd.

shutterstock_75595102-tryck

SKÄRPT TILLSYN OCH STRAFF

Tillsynsmyndigheten Datainspektionen skärper sin tillsyn och kan från och med 25 maj 2018 utfärda sanktionsavgifter på upp till 20 miljoner euro, eller 4 procent av bolagets årliga, globala omsättning, för bolag som brustit i sin personuppgiftshantering. Den lindrigaste överträdelsen kan ge böter på upp till 10 miljoner euro.

[ Juristen tipsar ]

”Se över hur ni hanterar hyresgästernas personuppgifter”

Line Zandén, jurist på Fastighetsägarna Sverige.
Line Zandén, jurist
på Fastighetsägarna
Sverige.

Medvetandegör dig! Alla som hanterar personuppgifter behöver kunskap om vilket ansvar hanteringen innebär. Det gäller alla verksamheter, från stora bolag till exempelvis bostadsrättsföreningar.

Kanske behöver ni se över era IT-system? Tänk i så fall på hur ni ska bygga in integritetsskyddet. Nödvändiga åtgärder kan exempelvis vara pseudonymisering eller dataminimering.

Inventera er personuppgiftshantering! Hur hanteras personuppgifter idag och med vilket rättsligt stöd? Förlitar man sig idag på möjligheten att behandla personuppgifter ostrukturerat, den så kallade missbruksregeln, exempelvis i löpande text, så ska man se över i vilka fall man har stöd för den hanteringen.

Se över rutinerna för att informera alla registrerade personer, till exempel hyresgäster, hur deras uppgifter hanteras och hur de går tillväga för att få sina rättigheter tillgodosedda, så som rätten att få personuppgifter raderade. Gå igenom samtyckesformulär och liknande typer av blanketter.

[ Annons ]

[ Annons ]

[ Nyheter ]
[ Reportage ]
[ Krönikor ]
[ Papperstidningen ]