Dataskyddsförordningen GDPR har satt många som hanterar personuppgifter i en rävsax av motstridiga krav. Å ena sidan ställer dataskyddsförordningen höga krav på att uppgifterna ska skyddas. Det kan sluta i höga avgifter om någon obehörig kommer åt dem. Å andra sidan ställer förordningen lika höga krav på att användarna ska ha tillgång till sina insamlade personuppgifter.
Hur skyddar du personuppgifterna i det läget? Hur följer du GDPR utan att uppgifterna hamnar i fel händer? Det ska vi gå igenom i det här inlägget. Det finns smarta verktyg som löser det här dilemmat.
Problemen med att koppla rätt person med rätt personuppgifter
Datainspektionen säger att ”när en registrerad begär att ni ska lämna ut eller radera personuppgifter, måste ni se till att identifiera personen så att ni vet att det är rätt person ni är i kontakt med.” Det står även med i själva regelverket för GDPR. Beaktandesats 64 säger att ”personuppgiftsansvariga bör vidta alla rimliga åtgärder för att kontrollera identiteten på en registrerad som begär tillgång, särskilt inom ramen för nättjänster och i fråga om nätidentifierare.”
Hur ska det då gå till? Datainspektionen säger bara att ”hur identifieringen ska gå till regleras inte i dataskyddsförordningen, utan ni måste själva göra en bedömning i varje enskilt fall.” Och det kan vara svårare än det låter.
Är uppgifterna kopplade till ett personnummer är det enkelt att koppla ihop personen med informationen, men så ser det inte alltid ut i verkligheten. I många fall är uppgifterna kopplade till en e-postadress eller på sin höjd ett kundnummer. Det ger inte en hög säkerhet; det räcker med att någon hör av sig och vill ha ut sina personuppgifter och säger att de har bytt e-postadress sedan de registrerade sig. Hur agerar ni då? Avsändaren pelle.pellesson@mejlen.com kan begära ut Pelle Pellesons uppgifter, för det är hans rättighet enligt dataskyddsförordningen, men vad utöver ett namn på en mejladress säger att det här är rätt person?
Ett kryphål som kan bli dyrt om det nyttjas
Det här kan bli ett enkelt kryphål för att stjäla eller förvanska personuppgifter. Långt ifrån alla organisationer känner till alla regler i GDPR. Det är lätt att bli stressad i det här läget och tro att de registrerades rättigheter fungerar som en offentlighetsprincip. Även om du kan reglerna, hur kan du snabbt och enkelt verifiera personens identitet?
Om personuppgifterna hamnar i orätta händer utgör detta en personuppgiftsincident enligt brottsdatalagen. Något som kan leda till sanktionsavgifter (på upp till 20 miljoner euro eller 4 procent av den globala omsättningen). För att inte nämna ett havererat rykte när det blir känt att vem som helst kan lägga vantarna på känsliga personuppgifter. Det är av högsta vikt att det är rätt person som får uppgifterna.
Så lämnar du ut informationen till rätt person
I dag sker det mesta i våra liv online. Enorma mängder information lämnas ut och lagras för att vi ska kunna ta del av varor, tjänster och funktioner. Samma tekniska utveckling som har drivit på den här förändringen har också fört med sig skydd av informationen, till exempel i form av kryptering, särskilda behörigheter och pseudonymisering av personuppgifter.
Ett annat bra verktyg för dataskydd är digital legitimering, till exempel BankID. Om din verksamhet har en lösning för säker legitimering på distans kan ni enkelt följa alla regler i GDPR. Ni kan snabbt ge uppgifterna till den som begär ut dem. Samtidigt kan ni lika snabbt kontrollera att det verkligen är personen uppgifterna gäller som begär ut dem. Regler följs på ett tryggt sätt och hanteringen blir korrekt och effektivt.
En lösning för det här är TeleID. Det är en webbaserad tjänst som inte kräver integration eller utveckling. Ni kan börja använda den med en gång. Om någon begär ut sina personuppgifter behöver bara den som handlägger ärendet initiera en legitimering och be personen att öppna sitt BankID. Det ingår ett certifikat, så organisationens namn visas i displayen när kunden legitimerar sig med BankID. När personen har legitimerat sig ser ni genast det på skärmen och uppgifterna kan lämnas ut med tryggheten att det är till rätt person.
Säker service som höjer kundupplevelsen
Det här är ett enkelt och säkert sätt att följa GDPR och dess riskanalys. Samtidigt så är det ett sätt att ge bra service. Handlar det om en kund så är den här processen en del av kundupplevelsen. Ger ni en snabb service som dessutom visar att ni tar personens säkerhet på största allvar inger ni förtroende. Det är ett enkelt sätt att göra alla parter nöjda.
Vill ni veta mer om TeleID och snabb och säker legitimering på distans? Kontakta oss för mer information eller en demo!