GDPR: Implikationerne ved at arbejde hjemmefra eller fra undervejs

Flere ansatte end nogensinde laver fjernarbejde og ligemeget om de er hjemme, på en forretningsrejse eller pendler, er man nødt til at træffe foranstaltninger for at sikre, at data ikke bliver misbrugt, forlagt eller uretmæssigt tilegnet af andre.

Det har typisk betydet, at man har krypteret data, skabt adgangsmanagementpolitikker eller udstyret ansattes apparater med sikkerhedssoftware. Men eftersom EU Databeskyttelsesforordningen nærmer sig, er organisationer nødt til at sikre sig, at deres foranstaltninger er konforme med forordningens krav.

Her er nogle af problemstillingerne, som organisationer bør være opmærksomme på.

Data beskyttelse

Når en organisation skaber en ny måde til at have adgang til dens data, så udsætter den de oplysninger for en højere risiko. Fjernarbejde intensiverer den risiko, så det kan være svært for den ansatte og organisationen at vide, hvornår oplysningerne er blevet stjålet, og det vil blive endnu sværere at finde ud af, hvordan det skete.

Organisationer bør tage sig af sårbare punkter i deres netværk og ved den fysiske opbevaring af data.

De fleste fjernarbejdere vil nødvendigvis være nødt til at flytte data (eller apparater, som giver adgang til den data) til offentlige rum. Det åbner op for risikoen for, at data bliver forlagt. Mange brud er sket udfra documenter glemt på toge, USB-stik, der er faldet ud af nogens lommer eller laptops, der blev stjålet.

Selvom det er svært at forhindre persondata i at blive forlagt (der er ikke meget andet, en organisation kan gøre, end at skabe strikes databeskyttelsespolitikker), så er der måder at formindske skaden, når først oplysningerne er blevet stjålet. At indrette strikes adgangsrettigheder betyder, at hvis en kriminel skulle få fat i en ansats laptop eller andre arbejdsredskaber, så vil de kun være i stand til at se en del af firmaets persondata. Organisationer har også behov for at beskytte data, som er på apparater. Det kan opnåes ved hjælp af kryptering eller pseudonymisering af data, før den bliver overført (hvilket diskuteres mere grundigt forneden).

Privatssfære

For at beskytte arbejdslaptops og apparater fra at blive misbrugt kan organisationer være fristet til at implementere software, som tracker hvordan ansatte (eller kriminelle) bruger apparatet. Der er masser af software, som kan registrere tasteanslag eller bevægelser med musen, men det skaber problemer i forhold til at være konform med GDPR.

Fjernarbejdere kan ske at have uregelmæssige arbejdstider og bruge deres apparater til både private og arbejdsrelaterede formal, så det er umuligt at differentiere imellem at overvåge en ansats arbejde og privatliv. Derfor er der ingen måde, du kan overvåge apparaterne på uden at krænke din ansattes ret til privatssfære.

Det er også svært at finde et retsgyldigt grundlag for at forarbejde data. Som artikel 29 databehandleren skriver: “Teknologier, som overvåger kommunikation, kan […] have en uhyggelig effect på den ansattes fundamentale ret til at organisere, opsætte møder med arbejdere og til at kommunikere fortroligt (inklusive retten til at opsøge information).

“Grundet i sådanne teknologiers evner kan ansatte ske ikke at være bevidste om, hvilke persondata der bearbejdes og med hvilke formal, mens det også er muligt at de ikke engang er bevidste om eksistensen af selve den overvågende teknologi.”

Data overførsler

Når data overføres fra en lokalitet til en anden, så bør den pseudonymiseret eller krypteret for at beskytte den mod at blive lækket.

Pseudonymisering maskerer data ved at udskifte identificerende oplysninger med kunstige identifikatorer. Selvom det er central for at beskytte data – og nævnes 15 gange i GDPR – og kan hjælpe med at beskytte privatssfæren og sikkerheden af persondata, så har pseudonymisering sine begrænsninger, hvorfor GDPR også nævner kryptering.

Ligesom pseudonymisering tilslører kryptering information ved at erstatte identifikatorer med noget andet. Dog, hvor pseudonymisering tillader, at enhver med adgang til informationen kan se dele af datasættet, tillader kryptering kun anerkendte brugere at have adgang til det fuldstændige datasæt.

Pseudonymisering og kryptering kan bruges samtidigt eller separat.

Lær mere om GDPR

For at finde ud af mere om, hvordan du kan forberede dig på forordningen, bør du indskrive dig på et af vores GDPR kurser. Afhængigt af dit faglige niveau kan du være interesseret i ét af disse to:

Certificeret EU databeskyttelsesforordning grundlag (GDPR) kursus

Certificeret EU databeskyttelsesforordning udøver (GDPR) kursus

Disse kurser kan fåes både i klasselokale- og fjernundervisningsformat.

Book disse kurser sammen i vores kombinationskursus og spar 15%.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.