GDPR: Konsekvenserna av att arbeta hemifrån eller på vägen

Fler anställda än någonsin jobbar på distans, oavsett om de är hemma, på affärsresa eller, pendling, måste bestämmelser införas för att säkerställa att data inte missbrukas, eller missgynnas.

Detta har vanligtvis inneburit att kryptera data, skapa åtkomsthanteringspolicyer eller tillhandahålla säkerhetsprogram för anställdas enheter. I takt med att EU General Data Protection Regulation (GDPR) närmar sig, måste organisationer se till att deras bestämmelser uppfyller förordningens krav.

Här är några av de problem som organisationerna bör vara medvetna om.

Dataskydd

När en organisation skapar ett nytt sätt att få tillgång till sina data, försätts data i större risk.Arbete på distans ökar risken eftersom det kan vara svårt för medarbetaren och organisationen att veta när data överträds, och det blir ännu svårare att identifiera hur det hände.

Organisationer bör ta itu med sårbarheter i sina nätverk och fysisk lagring av data.

De flesta avlägsnade arbetstagare måste, om nödvändigt, flytta data (eller enheter som kan komma åt den data) till offentliga utrymmen.Det öppnar risken för att data placeras felaktigt.Många överträdelser har inträffat från dokument som lämnas på tåg, USB-pinnar som faller ut ur någons ficka eller bärbara datorer som blir stulna.

Även om det är svårt att stoppa att personuppgifter hamnar felaktigt (det finns inte mycket en organisation kan göra annat än att skapa strikta dataskyddspolicyer), finns det sätt att mildra skadan vid data överträdelser.Att ställa in strikt åtkomsträtt innebär att om en brottslig får tag i anställdas bärbara dator eller annan arbetsanordning, skulle de endast kunna se en del av företagets personuppgifter.Organisationer måste också skydda data som förvaras på enheter.Detta kan uppnås genom att kryptera eller pseudonymisera data innan den överförs (vilket diskuteras mer detaljerat nedan).

Integritet

För att skydda bärbara datorer och enheter från att missbrukas kan organisationer frestas att implementera programvara för att spåra hur anställda (eller brottslingar) använder enheten.Det finns gott om programvara som kan logga tangenttryckningar eller spåra musrörelser, men det här medför problem med att överensstämma med GDPR.

Arbetare på distans kan hålla oregelbundna timmar och använda sina enheter av både personliga och arbetsmässiga skäl, så det är omöjligt att skilja mellan övervakning av arbetstagarens arbete och privatliv.Därför finns det ingen möjlighet att övervaka enheter utan att bryta mot dina anställdas rätt till integritet.

Det kommer även vara svårt att hitta en laglig grund för att behandla data. Som Artikel 29 Working Party skriver:”Tekniker som övervakar kommunikation kan […] ha en kylande effekt på de grundläggande rättigheterna för anställda att organisera, inrätta arbetstagarmöten och kommunicera konfidentiellt (inklusive rätten att söka information).

“På grund av förmågan hos sådan teknik kan medarbetarna inte vara medvetna om vilka personuppgifter som behandlas och för vilka ändamål, medan det är även möjligt att de inte ens är medvetna om förekomsten av övervakningstekniken själv.”

Dataöverföringar

När data överförs från en plats till en annan, ska den vara pseudonymiserad eller krypterad för att skyddas från läckage.

Pseudonymisering maskerar data genom att ersätta identifierande information med artificiella identifierare.Även om det är centralt för att skydda data – vilket nämns 15 gånger i GDPR – och kan bidra till att skydda personuppgifter och säkerhet för personuppgifter, har pseudonymisering sina gränser, varför GDPR även nämner kryptering.

Liksom pseudonymisering döljer kryptering information genom att ersätta identifierare med något annat.Medan pseudonymisering tillåter alla som har tillgång till data att se en del av datauppsättningen, tillåter kryptering endast godkända användare att få tillgång till hela datauppsättningen.

Pseudonymisering och kryptering kan användas samtidigt eller separat.

Läs mer om GDPR

För mer information om hur du kan förbereda förordningen bör du registrera dig till en av våra GDPR kurser.Beroende på din kompetensnivå kan du vara intresserad av antingen:

Certified EU General Data Protection Regulation Foundation (GDPR) Training Course

Certified EU General Data Protection Regulation Practitioner (GDPR) Training Course

Kurserna finns i både klassrum och som distansutbildning.

Boka dessa kurser tillsammans i vår kombinationskurs och spara 15 %.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.