Om GDPR utgör det juridiska skyddet som kommer att styra användandet och skyddet av personinformation så utgör informationssäkerhet det praktiska skyddet för din data. I det här inlägget förklarar vi hur IT-säkerhet och inbyggd integritet utgör nyckeln till hur man klarar sig i GDPR:s sköna nya värld.
IT-säkerhet och informationssamhället – Vad är skillnaden?
Till att börja med måste vi definiera vad informationssäkerhet är. För en lekman ter sig skillnaden mellan IT-säkerhet och informationssäkerhet inte helt uppenbar. Förenklat kan man säga att IT-säkerhet utgör totalskyddet för ett företags IT-miljö. Detta inkluderar allt från virusskydd till rutiner för att kryptera backuper, från vem som har inloggningsuppgifter till kontorets router till brandkårens utryckningstid till platsen där servrarna fysiskt är placerade (vilket på de flesta företag inte är på det faktiska kontoret). IT- säkerhet innefattar alla enheter, fysiska som virtuella, som informationen i en IT-miljö kommer i kontakt med.
Informationssäkerhet handlar å andra sidan om hur information lagras, används och säkras från både intern misskötsel och externa hot. Enkelt förklarat kan man hävda att där IT-säkerhet till stor del handlar om hård- och mjukvara så handlar informationssäkerhet om data- och systemsäkerhet. Informationssäkerhet är i likhet med IT-säkerhet inte något nytt utan är det sätt företag alltid har jobbat kring att säkra sin IT-miljö. Vad GDPR tillför är dels starkare sanktioner mot företag som inte tar ansvar för personuppgifter i sin IT-miljö, dels ställer krav på att systemen skall utvecklas med hänsyn till integritetsfrågan, inbyggd integritet (Privacy by Design).
Vad är då inbyggd integritet?
Inbyggd integritet är de tekniska systemkrav som GDPR i praktiken ställer på företag som hanterar persondata. I korthet innebär inbyggd integritet att system från början skall konstrueras på ett sådant sätt att de kan möta GDPR: s krav på integritetsskydd. Med detta menas inte bara att systemet är säkert från oönskad extern åverkan eller åtkomst, det menas även att så lite information skall finnas tillgänglig för så få individer som möjligt. Kortfattat skall man som personuppgiftsansvarig begränsa antalet personuppgifter som samlas in om individer, begränsa åtkomsten till sagda uppgifter, skydda uppgifterna från extern åverkan och designa sina system så att användare leds att arbeta på ett säkert sätt. Systemet skall även vara transparent: det skall finnas möjligheter för de vars personuppgifter insamlas att få överblick över vilka uppgifter som finns om dem.
Hur relateras detta till bakgrundskontroller?
Inbyggd integritet kan som beskriven ovan enklast delas in i fyra faser: insamling, åtkomst, skydd och design. Vid insamling skall informationen begränsas till endast det nödvändigaste, man skall hela tiden vara på det klara med vilken information man tänker samla in och hur den kommer att användas. Åtkomsten behöver begränsas till att bara de som är involverade i processen kan komma åt informationen: tiden för ostrukturerade, okrypterade filer som skickas över mail är förbi. Idag krävs systemstöd och specifikt framtagna rutiner och processer för att effektivt kunna arbeta med personuppgifter i bakgrundskontroller. I vårt förra inlägg så beskrev vi den kandidatportal vi använder för att våra kandidater skall hitta rätt: vad vi inte nämnde är att denna portallösning även gäller både för leverans till kund och för det system våra researchers jobbar i. Genom att bygga en totallösning tillsammans med policys och systemstöd för IT-säkerhet och informationssäkerhet kan man följa GDPR och göra sina bakgrundskontrollprocesser juridiskt hållbara.