Överföring av personuppgifter under GDPR

När organisationer överför data, äventyrar de oundvikligen sin säkerhet till viss del.Det är inte längre säkrat bakom fysiska försvar, till exempel i en låst låda i organisationens säkra lokaler, och överföringsmetoden kan gå förlorad, bli stulen eller hackad.

Det finns inte mycket organisationer kan göra för att eliminera dataförlust, så problemet blir hur man minskar skadan när uppgifterna exponeras?

Detta är en särskilt angelägen fråga med EU General Data Protection Regulation (GDPR) som träder i kraft på mindre än åtta månader.GDPR stärker EU-invånarnas rättigheter avseende sina personuppgifter och gäller för alla organisationer i världen som behandlar sådana uppgifter.

Dataöverföringar

Även om överföring av data ofta är riskabelt är det vanligtvis nödvändigt. Den amerikanska regeringens försök att förbjuda USB-flash-enheter misslyckades eftersom det helt enkelt var opraktiskt.Flyttbara enheter är otroligt hjälpsamma för att flytta filer och spara säkerhetskopior.

GDPR hävdar att dataföremål har rätt till dataportabilitet, vilket erkänner vikten av flyttbara enheter.Detta gör det möjligt för individer att skaffa och återanvända sina personuppgifter för sina egna ändamål inom olika sektorer.Det tillämpas för:

  • Personuppgifter en person har lämnat till en kontroller;
  • Om behandlingen sker utifrån individens samtycke eller för utförande av kontrakt; och
  • När bearbetning utförs med automatiska medel.

Alla personuppgifter måste överföras i en strukturerad, allmänt använd och maskinläsbar form.

Pseudonymisering och kryptering

GDPR rekommenderar organisationer att pseudonymisera och/eller kryptera alla personuppgifter.Detta kommer inte att stoppa skadliga aktörer som åtgärdar informationen helt och hållet, men det kommer att göra det mycket svårare för dem. Enligt Gemalto’s Breach Level Index, har endast 4 % av dataöverträdelserna sedan 2013 inneburit krypterad data.

Pseudonymisering maskerar data genom att ersätta identifierande information med artificiella identifierare.Även om det är centralt för att skydda data – vilket nämns 15 gånger i GDPR – och kan bidra till att skydda personuppgifter och säkerhet för personuppgifter, har pseudonymisering sina gränser, varför GDPR även nämner kryptering.

Kryptering förhindrar även information genom att ersätta identifierare med något annat.Men medan pseudonymisering tillåter alla som har tillgång till data för att se en del av datasatsen, tillåter kryptering endast godkända användare att få tillgång till hela data-uppsättningen.

Pseudonymisering och kryptering kan användas samtidigt eller separat.

Implementering av kryptering

Varken kryptering eller pseudonymisering kräver teknisk kunskap för att implementeras (vilket är goda nyheter för UK Home Secretary Amber Rudd).Svårigheten för organisationer är att införa lämpliga säkerhetspolitiska åtgärder och förfaranden, och att göra medarbetarna medvetna om sina skyldigheter.

Vår GDPR Personal Awareness E-learning Course är ett flexibelt sätt att introducera din personal till förordningens efterlevnadskrav.Det omfattar förordningens räckvidd, de viktigaste uppgifterna för skydd av uppgifter, principerna för insamling och behandling av personuppgifter och hur man tillämpar kraven på din organisation.

Denna kurs är lämplig för all personal, och med kostnader för dataöverträdelser som stiger varje år, är det viktigt att alla i din organisation följer bästa praxis för att vara säker.

Läs mer om vår GDPR Personal Awareness E-learning Course >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.