GDPR og personvern: Den store sikkerhetsguiden
Men hva betyr dette for deg som har installert utskriftsløsninger og skrivere på jobb?
Hvorfor trenger vi GDPR?
Den 25. mai 2018 trådde det nye regelverket for personvern i kraft i EU og EØS, mens datoen for implementering i Norge var 20. juli. Og som vi skrev i artikkelen "Hurra for GDPR" er det all grunn til å se positivt på endringene som er innført.
Målet med GDPR er å beskytte privatpersoner fra uredelig bruk av deres personopplysninger. Identitetstyveri er et økende problem internasjonalt, og bare i Storbritannia alene har det blitt stjålet over 113 millioner personopplysninger siden 2013.
Med GDPR kommer strenge krav til alle bedrifter. Dette for å at sikre at de tar nødvendige forhåndsregler som vil minimere sikkerhetsrisikoen for brudd på personvernet.
Mange av kravene som kommer har allerede vært en del av norsk lovgivning, så helt nytt er det ikke. Men en av de største endringene blir at Datatilsynet kan gi ut bøter til virksomheter som bryter med retningslinjene.
Visste du at over 60 % av all kundeinformasjon er lagret i forretningsdokumenter? Med en økning på 49 % av datainnbrudd relatert til dokumentprosesser, vil en trygg behandling av disse fremover være avgjørende for sikring av personvernet.
Hva er en personopplysning?
Når vi snakker om personopplysninger, menes alle opplysninger som kan knyttes til deg som enkeltperson. Eksempler på personopplysninger er:
- Navn
- Adresse
- Telefonnummer
- E-postadresse
- IP-adresse
- Registreringsnummer på bil
- Bilder
- Fingeravtrykk
- Irismønster
- Hodeform (for ansiktsgjenkjenning)
- Fødselsnummer (både dato og personnummer)
Sitter du på én eller av flere disse opplysningene om dine kunder, har du nå etter 25. mai med stor sannsynlighet hatt behov for å innføre nye tiltak.
Hvilke tiltak for GDPR er det snakk om?
I grove trekk sier den nye loven at du må kunne dokumentere:
- Hvilke data/personopplysninger du lagrer
- Hvordan du henter inn og håndterer data
- Hva opplysningene brukes til
- Hvorfor de er viktige for kundeforholdet
Driver du for eksempel en nettbutikk, vil det være naturlig at du sitter på persondata som navn og adresse slik at du får sendt varen til riktig sted. Men du må allikevel opplyse om dette.
GDPR gir også brukeren rett til innsyn i hvilke data som er lagret. I tillegg skal det være enkelt for brukeren å endre data, slette data, eller flytte data over til en annen aktør.
Det betyr iverksettelse av både tekniske og organisatoriske tiltak som effektivt ivaretar personvernet. Dette medfører innstramminger på en rekke områder.
- Rett til dataportabilitet.
- Konsesjons- og meldeplikten bortfaller.
- Virksomheter må utrede personvernkonsekvenser og varsle om sikkerhetsbrudd.
Datatilsynet i Norge gis nye verktøy for å ilegge bøter for brudd på regelverket. I verste fall kan det ilegges bøter på inntil 20 millioner euro, eller inntil 4 % av selskapets årlige omsetning på verdensbasis.
Målet er innebygd personvern fra A til Å.
Loven forplikter alle til å bygge personvern inn i løsningene i den innledende fasen. Det er her de aller fleste bedrifter befinner seg akkurat nå – hvor det bestemmes hvilke virkemidler som skal brukes.
Men man må også tenke innebygd personvern i fortsettelsen, så lenge bedriften behandler personopplysninger.
Nå skal alle bruke personvern som standardinnstilling. Det betyr at det minst personverninngripende alternativet skal være standarden i alle systemer og løsninger.
Til å vurdere hvor personvernvennlige tiltakene kan gjøres, skal man ta hensyn til alt fra tilgjengelig teknologi og implementeringskostnader – til hva slags databehandling som skal gjøres og hvor omfattende den er.
Sikkerhetsaspekter og risikofaktorer ved multifunksjonsskrivere.
Når man behandler dokumenter internt i en bedrift er det ofte en multifunksjonsskriveren som står i hovedfokus. Denne lar ansatte behandle store menger personopplysninger ved at man kan kopiere, skanne og skrive ut informasjon.
Multifunksjonsskriveren har den senere tid fått et langt høyere fokus når man snakker om sikkerhet, ettersom man har oppdaget hvor enkelt det er å gjennomføre dataovervåkning og datainnbrudd ved å utnytte usikrede multifunksjonsskrivere og nettverksskrivere.
1. Multifunksjonsskrivere lagrer personopplysninger.
Hver gang noe skannes, kopieres eller lagres blir bildet av dokumentet mellomlagret på enhetens harddisk. Selv om dokumentet slettes kan det rekonstrueres ved hjelp av enkle verktøy, med mindre man har sikker sletting av data på harddisk.
Det er alltid en risiko ved at uvedkommende får tilgang til enhetens system og harddisk, enten ved fysisk innbrudd eller ved at enhet blir hacket/datainnbrudd. Her vil den uvedkommende kunne få tilgang til å se en kopi av alle dokumenter som behandles av enheten.
2. Å ikke slette persondata ved retur av maskiner.
Det er mange eksempler på at gammelt utstyr blir gjenbrukt eller solgt brukt uten at sikkerheten er ivaretatt ved at all informasjon på enhetene er slettet. Dette har i flere tilfeller resultert i at personvernopplysninger har havnet på avveie. Fremover vil dette være grunnlagt for bøter fra Datatilsynet og er meget viktig at man ivaretar både med tanke på personvernet samt virksomhetens renomme.
3. Å sende ukryptert nettverkstrafikk fra utskrift og scanning.
Utskrifter som sendes fra pc, sendes hovedsakelig som ukryptert nettverkstrafikk. Siden nettverkstrafikken ikke er kryptert, kan derfor en hacker eller en illojal ansatt, plukke opp utskriftene over nettverket og finne sensitiv informasjon ved hjelp av enkle verktøy som er fritt tilgjengelig over internett.
Ved skanning av dokumenter til e-post fra multifunksjons skrivere er det veldig ofte ingen sikkerhet aktivert. I motsetning til når man sender en e-post fra en PC så er ikke e-posten kryptert når den sendes til e-postserver. Årsaken til dette er at man ikke har hatt fokus på sikkerhet ved oppsett av multifunksjonsskrivere.
Dette betyr at uvedkommende eller illojale ansatte kan laste ned en kopi av alle skannede dokumenter over nettverket ved hjelp av enkle gratisverktøy som er fritt tilgjengelig på internett.
4. Felles bruk av multifunksjonsskrivere.
Det er svært vanlig at flere ansatte deler på én og samme skriver. Skriveren står gjerne i åpne landskap eller i felles kopirom. Hvis man skriver ut dokumenter som inneholder personopplysninger, kan personer som i utgangspunktet ikke har behov for tilgang kunne se en utskrift som ligger på enheten – eller i verste fall ta den med seg ved en feil.
Som en del av den nye lovgivningen skal man kunne ha kontroll på hvem som har tilgang til informasjonen og spore den. For å ivareta dette kravet må man derfor ta i bruk en løsning som gjør at enheten ikke skriver ut dokumentet før brukeren står ved utskriftsenheten.
Løsninger som ivaretar personvern og sikkerhet i din bedrift.
Ikke alle har en egen IT-avdeling eller GDPR-ansvarlig som sørger for implementering av gode systemer og rutiner for dokumentbehandling.
Hadde det ikke vært fint om det fantes løsninger hvor alt ble håndtert for deg?
Vel, det gjør det!
Løsning 1: Sikkerhetspakken fra Lindbak
I Lindbak er vi lidenskapelig opptatt av å være gode kunderådgivere og hjelpe våre kunder å lykkes – også med sikkerheten. Derfor har våre konsulenter og teknikere sikkerhet i høysetet.
For å hjelpe deg med å ivareta sikkerheten tilbyr vi Sikkerhetspakken. I tillegg får du hjelp til korrekt konfigurasjon og oppsett av tjenesten av en tekniker.
Sikkerhetspakken inkluderer:
- Kryptering av alt innhold på enhetens harddisk
- Sikker sletting av innhold på enhetens harddisk
- Kryptering av nettverkstrafikk ved utskrift
- Oppsett og opplæring av sikker utskrift.
Sikker utskrift innebærer at utskriften ikke kommer før bruker står ved maskinen. Jobben lagres sentralt på en server og bruker kan selv velge den skriveren som er lettest tilgjengelig ved å autentisere seg med adgangskort, brukernavn, passord eller pin-kode. Slik oppnår du bedre kontroll på sensitive dokumenter og reduserte utskriftskostnader.
Sikkerhetspakken er et tillegg til driftsavtalen og medfører et tillegg i månedspris på kr 199,- pr. mnd. Det er en smal pris å betale for å garantere for sikkerheten i din bedrift.
Løsning 2: Behandling og arkivering av dokumenter og informasjon.
Alle bedrifter har nok allerede eller i en eller annen grad vurdert et elektronisk dokumentarkiv for lagring av dokumenter. Den nye personvernlovgivningen vil gi enda en god grunn for å ta steget.
Ikke bare ivaretar man personvernsikkerheten, men man vil i tillegg kunne høste store gevinster med effektivisering, økt kunde- og medarbeidertilfredshet, samt tilgjengelighet på informasjon for bedre beslutninger.
- Øyeblikkelige søk på dokumenter og innhold i dokumenter
- Sporbarhet og versjonshåndtering..
- Avansert arbeidsflyt med regler.
- Fullverdig løsning for arkivering av e-poster og gjenfinning.
- Komplett integrasjon i Microsoft Office
- Velg enten skytjeneste eller lokal server
- Lokal klientprogramvare selv om man benytter skyløsning
- Skalerbar for bruk i bedrifter uansett størrelse
- Komplett integrert med våre multifunksjonsskrivere og dokumentskannere
Løsning 3: Gjenfinning av informasjon.
Ofte ligger utstrukturert informasjon lagret på lokale filområder, fellesområder på server og i e-post. Det kan også være personinformasjon lagret i fagsystemer som man ikke har strukturert.
En stor utfordring er å ikke ha strukturert all informasjon i bedriften. For å imøtekomme dette kravet tilbyr Lindbak en egen løsning som gjør det mulig å gjennomføre et søk etter informasjon i bedriftenes egne e-poster, fagsystemer og filområder.
Dette er et fantastisk verktøy for å effektivisere hverdagen ved at man eliminerer tid benyttet på søk etter informasjonen. I tillegg til å spare tid øker man kvaliteten på arbeidet ved at man tar bedre beslutninger basert på korrekt grunnlag.
Løsningen forklares enklest ved at man installerer en søkemotor som fungerer som et internt Google-søk. Søkemotoren vil da øyeblikkelig finne dokumenter og informasjon i fagsystemer, e-postkontorer, sharepoint-nettsider, filområder blant flere.
Slik blir det enkelt å finne personlige opplysninger på tvers av alle systemer. Dette dekker kravet til å kunne fortelle hvilken informasjon en bedrift har lagret om en annen person, og er til stor hjelp for å etterleve kravene til GDPR samtidig som at man effektiviserer driften.
En erfaren og trygg partner på dokumentbehandling.
Lindbak er Norges største produsentuavhengige leverandør av multifunksjonsskrivere og systemer for dokumentbehandling. Vi samarbeider med de største produsentene i bransjen og har i tillegg import av egne merker.
Dette setter oss i en meget spesiell situasjon hvor våre konsulenter til enhver tid kan velge den løsningen fra den produsenten som gir våre kunder mest verdi for investeringen.
Dette er en stor del av vår suksess og tilliten vi har hos våre kunder.
Våre hovedsamarbeidspartnere innenfor utskrift og dokumentbehandling
er Canon, Ricoh, HP, Samsung. I tillegg har vi import av egne merker som Toshiba og Triumph Adler. Utover dette samarbeider vi med og gir service på Xerox, Sharp, Oki og Brother.
Vil du vite mer om hvordan du kan ivareta sikkerheten hos din bedrift? Ta kontakt med oss i dag!
Sikkerhetsløsninger fra Lindbak
Våre løsninger gir fantastisk sikkerhet for verdifulle mennesker. Ta kontakt med oss for mer informasjon.
Les også disse sakene:
Slik sikrer du virksomheten din mot dataangrep
Miljøpakken
Brukervennlig nettside med innhold i fokus
Sikkerhetsrapporten er et viktig strategisk verktøy
Back-up er redningen om hackerne tar deg
Slik bidrar du til at din bedrift ikke blir hacket
Småbedrifter er ekstra sårbare for cyberangrep
Er bedriften din for liten til å interessere hackere? Tvert imot, du er drømmemålet!
Gjør din bedrift sikrere og mer effektiv – fire tips om investering i ny teknologi
Sikker innlogging forebygger angrep
Den viktigste «brannmuren» er deg selv
Sørg for sikkerhet i alle ledd på hjemmekontoret - Her er 6 tips!
Hvordan får du hjemmekontoret ditt til å fungere?
Hjemmekontor skaper utfordringer med tanke på tekniske og praktiske løsninger, og sikkerhet. Les våre tips.