Í síðustu viku bárust fregnir af því að sjúkragögn Samtaka áhugafólks um áfengis- og vímuefnavandann (SÁÁ) hefðu farið á flakk. Nánar tiltekið virðist málum þannig háttað að fyrrverandi starfsmaður stofnunarinnar hafi persónuupplýsingar sjúklinga undir höndum. Ásakanir ganga á víxl um hver sé ábyrgur fyrir því en staðreyndin er samt sú að persónuupplýsingar liggja hjá óviðkomandi aðila. Af því tilefni ætlar undirritaður að fjalla um hvernig tryggja megi betur yfirráð yfir persónuupplýsingum.

 

Framkvæmum áhættumat

Fyrsta skrefið er að framkvæma áhættumat. Slíkt mat leiðir veikleikana í ljós, þ.e. hvar er hætta á því að yfirráð yfir persónuupplýsingum glatist. Þar þurfum við meðal annars að spyrja okkur spurninga sem tengjast aðgangi að persónuupplýsingum. Til dæmis væri hægt að spyrja eftirfarandi spurninga:

 

* Getur utanaðkomandi aðili gengið óáreittur inn á okkar vinnusvæði? Ef já, þá eru auknar líkur á að persónuupplýsingar endi í höndum óviðkomandi aðila.

* Má starfsfólk vinna með gögn heima? Ef já, þá eru auknar líkur á að óviðkomandi aðili, svo sem fjölskyldumeðlimur, komist yfir upplýsingar.

* Má starfsfólk vinna með eigin tölvu? Ef já, þá er líklegra að starfsmaður taki upplýsingar með sér þegar hann hættir störfum.

* Er illa skilgreint ferli sem fer í gang þegar starfsmaður hættir? Ef já, þá er sú hætta fyrir hendi að hann hafi enn aðgang að upplýsingum eftir að störfum er hætt.

 

Svarið við framangreindum spurningum gefur okkur því góða vísbendingu um hvar við þurfum að bregðast við.

 

Gerum öryggisráðstafanir

Annað skrefið er að gera öryggisráðstafanir á grundvelli áhættumatsins. Í dæmunum að framan mætti til dæmis gera eftirfarandi ráðstafanir:

 

* Utanaðkomandi aðila er ekki hleypt inn á vinnusvæði nema í fylgd starfsmanns.

* Óheimilt er að vinna með gögn utan vinnustaðar.

* Einungis má vinna með tölvur í eigu fyrirtækisins.

* Þegar starfsmaður hættir skal eyða honum út sem notanda í öllum rafrænum kerfum.

 

Höldum vel utan um frávik

Ekki er hægt að sjá fyrir öll möguleg atvik og eitthvað getur alltaf farið úrskeiðis. Þriðja skrefið er því að halda vel utan um það sem miður fer, til dæmis þegar starfsmenn fara ekki eftir verklagsreglum. Þegar frávik á sér stað er mikilvægt að leita skýringa, þ.e. skoða ástæður þess að eitthvað fór úrskeiðis, og bregðast við, þ.e. grípa til aðgerða og koma í veg fyrir sambærileg atvik í framtíðinni. Hér má nefna einfalt dæmi:

 

„Nýr starfsmaður tekur til starfa hjá fyrirtæki og meðhöndlar gögn viðskiptavina. Í lok dags skilur hann upplýsingar eftir á skrifborði sínu í stað þess að setja þær í læsta hirslu eins og reglur fyrirtækisins gera ráð fyrir. Ástæðan er sú að starfsmaðurinn var ekki upplýstur um reglur fyrirtækisins og persónuverndarmál þegar hann hóf störf. Viðbrögðin eru þau að allir nýir starfsmenn fá framvegis nýliðafræðslu um persónuverndarmál .“

 

Eins og sjá má gefur frávikaskráning okkur tækifæri til að bæta okkur. Þeir sem þekkja til upplýsingaöryggis vita að stöðugar umbætur skipta hvað mestu máli. Þannig tryggjum við sífellt betur yfirráð yfir persónuupplýsingum.

 

Höfundur er yfirlögfræðingur hjá Dattaca Labs en fyrirtækið veitir alhliða ráðgjöf í tengslum við persónuverndarmál.