Skydd av sekretessbelagd information

När du gör något i den uppkopplade världen – till exempel köper något i en nätbutik eller gör ett inlägg på en blogg – så lämnar du alltid efter dig ett digitalt fotspår, ett dokument som visar vem du är och vad du har gjort. Detta gör att allt fler människor börjar tänka sig för innan de lämnar ut personlig information på Internet.

Men för att skydda sig räcker det inte med att man som privatperson vidtar försiktighetsåtgärder.  

– Informationen som privatpersoner frivilligt lägger ut på Internet är en sak, men de digitala fotspåren från företag och offentliga myndigheter är en helt annan sak, säger Michelle Chibba, policychef på Kanadas dataskyddsmyndighet (Privacy Commissioner) i provinsen Ontario.  

Inom ett företag eller en organisation är det oerhört viktigt att man underhåller och skyddar sekretessbelagd information, något som vanligtvis sköts av den person som är dataskyddsansvarig.
– Den här personen bör vara medveten om att det råder ett symbiotiskt förhållande mellan sekretess och säkerhet, påpekar Michelle.

Sekretesslagstiftning
I Europa och Kanada finns en någorlunda heltäckande sekretesslagstiftning, men den amerikanska lagstiftningen lämnar fortfarande en hel del att önska – bland annat saknas en federal sekretesslagstiftning. Riktlinjerna i den internationellt erkända FIPS-standarden (Fair Information Practices) håller emellertid på att bakas in i alla sekretesstandarder, enligt Michelle Chibba.  

– FIPS innehåller flera viktiga punkter, säger hon. Först och främst fastslås att innehavaren av personlig information måste se till att informationen är säker. Det kan innebära fysisk säkerhet eller IT-säkerhet, vilket kan innebära att man måste låsa sitt dokumentskåp eller installera en brandvägg.  

Informationsinnehavaren måste också klart och tydligt berätta varför en viss information samlas in, och se till att informationen uteslutande används i det syfte som den samlades in för.  

– Om du uppsöker ett sjukhus måste du till exempel lämna ut personlig information för att få vård, säger Michelle Chibba. Om sjukhuset sedan skulle använda denna information i marknadsföringssyfte måste de först ha ditt godkännande, eftersom det då rör sig om ett sekundärt syfte.  

Informationsinnehavaren måste också hindra obehöriga från att få tillgång till personlig information samt garantera informationens integritet och riktighet.

Slutligen fastslås i FIPS att personen som informationen hämtas från måste få veta vilken information som samlas in, varför den samlas in och hur den förvaras. Och personlig information får bara sparas så länge som krävs för att uppfylla det ursprungliga syftet, säger Michelle Chibba. Det är också viktigt att se till att sådana register (och bilder) förstörs på ett säkert sätt, tillägger hon.  

Social engineering
Även om allt fler företag och offentliga myndigheter anställer en dataskyddsansvarig eller liknande med syftet att implementera en sekretsspolicy, så bör man aldrig lägga ansvaret för att skydda sekretessbelagd information i händerna på en enda person, säger Michelle Chibba.  

Alla medarbetare måste veta vilka sekretessregler som gäller och kunna hantera olika typer av sekretesshot, inklusive det fenomen som kallas ”social engineering”. Det är när bedragare försöker att skaffa sig sekretessbelagd information från privatpersoner inom en organisation.  

– I och med att teknologin blir allt mer avancerad, blir det svårare för hackare att ta sig in i datasystemen, förklarar Michelle Chibba. Därför tar de nu till metoder som ”social engineering” i stället. De kan exempelvis ringa upp en receptionist, lämna några få uppgifter om en viss person och på så sätt försöka komma över mer information om den här personen.  

Det amerikanska resurscentret för identitetsstölder rapporterar att ”oärliga medarbetare” ligger bakom 36 procent av alla dataintrång, antingen genom att försöka få tillgång till personlig information eller genom att utan tillstånd lämna ut sekretessbelagd information.  

– Därför bör företagen införa något som vi kallar för ”sekretesskultur” eller Privacy by Design. Sekretesskyddet bör vara djupt rotad i företagskulturen, säger Michelle Chibba.  

Sekretessutbildning
IBM är ett företag som tar sekretess på stort allvar – både när det gäller personal och kunder. IBM har haft sin sekretesspolicy ända sedan 1960-talet. I dag har man sekretessregler som omfattar personaluppgifter, marknadsinformation, utveckling och säkerhet. Personalutbildning är också en viktig faktor för att upprätthålla företagets sekretssnormer.  

– Det är väldigt viktigt att utbilda medarbetarna, eftersom sekretess är viktig både för dem som anställda och för hur de hanterar kundinformation, säger Yim Chan, dataskyddsansvarig på IBM Canada.  

IBMs onlinemodul för sekretessutbildning gör det möjligt för 400 000 medarbetare att lära sig mer om företagets sekretessregler. Det finns också moduler för säkerhet, finansiell integritet, uppförandekod och affärsriktlinjer. Varje år anordnar IBM dessutom en ”Privacy Awareness Week” på koncernbolag över hela världen.  

– Det är viktigt för alla organisationer att hålla sina sekretessregler uppdaterade, säger Yim Chan. Vår sekretesspolicy har många år på nacken, men vi uppdaterar den kontinuerligt. På så sätt visar vi både medarbetare och kunder att IBM är ett företag som fokuserar starkt på att skydda personlig information. Allt som vi gör handlar om förtroende.  

– Sekretess är inte längre bara en fråga om att följa lagen, utan det är också en fråga om professionalitet, säger Michelle Chibba. Ett företag måste skydda sitt rykte. Om man slarvar bort kundernas personliga information kommer de att ställa sig frågan: Hur fungerar verksamheten i övrigt?