Bedrägerier



Vet du vem du lämnar ut personuppgifter till?

Alla som omfattas av GDPR ska och har säkert idag någon typ av verktyg och process för att sammanställa och dela personuppgifter på begäran av den de tillhör. Så någon typ av verktyg för sammanställning, rättning och radering tror jag finns.

Däremot tror jag tror många mindre eller medelstora företag och organisationer brottas med hur de ska verifiera att de lämnar ut sammanställningarna till rätt person. Särskilt om de inte redan vid insamlingen av data kopplade uppgifterna till ett personnummer.

Om man inte kopplat data till personnummer så kan man inte heller sammanställa information med hjälp av detta. Det är i så fall oftast e-post, telefonnummer eller kundnummer. Där kan man säkert i efterhand höja verifieringsnivån för inhämtade personuppgifter med en IDkoll.

Oavsett hur man kopplar personuppgifterna som man fått en begäran på, så bör man ha en struktur för hur man verifierar att den sammanställda informationen är kopplat till den som gör begäran. Jag delade ju exemplet på hur någon vill ha uppgifter om vilka uppgifter som är kopplade till ett användarkonto som bara består av en epostadress, och den begärande inte längre har tillgång till adressen. Kännedomen om att uppgifter inte ska delas i liknande fall är säkert inte helt allmän.

En verifiering av den som begär uppgifterna med IDkollen säkerställer oavsett verifiering av den begärda informationen, vem som gjort begäran och fått ut informationen.

Skydda Personuppgifter från lämnas ut till obehöriga
I GDPR framhålls vikten av  att personuppgifterna skyddas från obehörig åtkomst. Detta har oftast förknippats med skydd av databaser mot intrång och verifiering av användare vid inloggning. En inte lika uppmärksammad men ytterst påtaglig risk för läckage är när en begäran om utdrag av personuppgifter verkställs och en sammanställning skickas ut. Där ställs man ofta inför utmaningen hur man ska kontrollera att den som begär ut uppgifterna också är den som har rätt till det?

Redan idag förekommer fall där uppgifter begärs ut av anhöriga eller andra obehöriga med hjälp av “social ingenjörskonst” och en vilseledande epostadress. Med hjälp av GDPR-ID kan en Personuppgiftsansvarig enkelt försäkra sig om vem den som får ta del av de begärda uppgifterna är med och att det är den uppgifterna gäller.

Thomas Bäcker
Thomas Bäcker
Oberoende Säkerhetskonsult, fd. Kundsäkerhetschef Blocket
thomas.s.backer@gmail.com



Vill ni bli kontaktade av IDkollen?

Har ni frågor om våra tjänster?
Kontakta oss via formuläret eller 08-425 125 60.

Formuläret skyddas av reCAPTCHA som använder Googles integritetspolicy och användarvillkor.