IT-säkerhet och skyddet för personuppgifter viktigare än någonsin – Tre riktlinjer under Covid-19

Vi prövas i tider av kris. Så även under rådande Covid-19-pandemi. När vi i efterhand kommer att blicka tillbaka på tiden med Covid-19 kommer vi kunna summera vilka som agerade klokt och tog rätt beslut i svåra tider. Hur vi nu lyckas upprätthålla god IT-säkerhet och skydda anställda och kunder blir därför särskilt viktigt.

EU:s dataskyddsförordning (GDPR) ställer krav på hur företag och organisationer får hantera personuppgifter, och reglerna blir särskilt viktiga i kristider. Bestämmelserna i GDPR innebär inte enbart formella krav utan även ett praktiskt skyddsarbete och förhållningssätt som till lika del är aktuell att tillämpa hemifrån som på kontoret.

För att underlätta för dig att i efterhand kunna vara den som agerade klokt kring GDPR och IT-säkerhet vill vi upplysa dig om tre saker.

1. Samla inte in onödiga personuppgifter

Arbetsgivare kan i arbetsledning och arbetsmiljöansvar behöva behandla personuppgifter om anställda. Enligt GDPR är det viktigt att denna personuppgiftsbehandling inte görs mer omfattande än nödvändigt. Arbetsgivare har enligt GDPR rätt att, i vissa fall, utan den anställdes godkännande behandla hälsouppgifter eller uppgift om facklig tillhörighet (s.k. känsliga personuppgifter) för utförandet av arbetsrättsliga skyldigheter. WHO:s klassning av den rådande situationen som ett pandemiskt utbrott (tillsammans med Folkhälsomyndighetens restriktioner) kan sannolikt i enskilda fall även tillåta behandling av känsliga personuppgifter för andra ändamål. Finner ni skäl för ytterligare behandlingar av känsliga personuppgifter kan er verksamhet överväga att tillämpa bestämmelsen för kontroller av anställda eller besökare. Som med all behandling av personuppgifter behöver den aktuella kontroll- och skyddsåtgärden vara nödvändig och proportionerlig för att anses förenlig med GDPR. En bedömning om åtgärdens tillvägagångssätt och tillåtlighet ska därför göras i varje enskilt fall.

Datainspektionen har i vägledning gett upplysningar kring hantering av personuppgifter med anledning av Covid-19 och uttalat följande om känsliga uppgifter.

• En uppgift om hälsa är en känslig personuppgift.
• Uppgifter om att någon är smittad av coronavirus är en personuppgift om hälsa.
• Uppgifter om att anställd återvänt från ett riskområde är inte en personuppgift om hälsa.
• Uppgifter om att någon är i ”karantän” är inte en personuppgift om hälsa, om den inte innehåller närmare information om orsaken.
• Uppgifter om att någon är satt i karantän enligt smittskyddslagen är sannolikt en personuppgift om hälsa.

Vid all behandling av känsliga personuppgifter ska de grundläggande principerna följas och behandlingen kräver en rättslig grund. Det är särskilt viktigt att begränsa tillgången till eventuella känsliga personuppgifter. Uppgifterna ska inte heller delas i större omfattning än nödvändigt. Kan målen med åtgärden uppnås utan insamling av känsliga personuppgifter ska dessa mindre integritetskänsliga uppgifter användas. Nya personuppgiftsbehandlingar ska ni anteckna i er registerförteckning, som ni enligt GDPR är skyldiga att hålla uppdaterad.

Europeiska dataskyddsstyrelsen har även uttalat sig i frågan. Uttalandet finner du här.

2. Bestäm och begränsa spridning och lagring av personuppgifter

De personuppgifter ni väljer att samla in till följd av Covid-19 ska inte spridas till fler än nödvändigt. Kom ihåg att även begränsa lagringstiden för uppgifterna. En uppgift om att en individ är smittad av just Covid-19 behöver inte sparas särskilt länge efter tillfrisknande. Däremot behöver uppgiften om att individen varit sjuk sparas längre, bl.a. för ändamålet att redovisa sjuklön etc.

För er interna säkerhet, i uppfyllande av kraven om teknisk- och organisatorisk säkerhet, ska insamlade personuppgifter inte spridas till fler än nödvändigt. Som arbetsgivare har man även skyldighet att säkerställa att uppgifter behandlas med sekretess. Denna skyldighet gäller såväl internt som externt. Därför ska inga uppgifter om specifika anställdas smitta eller hälsotillstånd heller spridas inom organisationen.

3. Upprätthåll god IT-säkerhet, även på hemmaplan

De rutiner ni arbetat fram kring er IT-säkerhet gäller även på hemmaplan. Arbete hemifrån innebär en mängd utmaningar, så även för IT-säkerheten. Det är därför särskilt viktigt att ni upprätthåller er säkerhetspolicy, klargör rutiner och riktlinjer för användning av tillåtna IT-tjänster och hur lagring av data får ske hemifrån. Att surfa från privat wifi kan innebära en säkerhetsrisk. Använd därför VPN (virtuellt privat nätverk) och uppdatera lösenord till din hemrouter. Att addera ytterligare steg för inloggning med s.k. flerfaktorsidentifiering stärker IT-skyddet.

Kräver hemarbete användande av nya IT-tjänster kan detta innebära krav på nya personuppgiftsbiträdesavtal, och att ni samtidigt utreder om leverantören uppfyller de krav som krävs kring dataskydd och IT-säkerhet. Skyldigheter om arbetsgivares personuppgiftsansvar och ansvarsskyldighet upphör inte att gälla vid omdirigering till arbete hemifrån.

Skulle en personuppgiftsincident uppstå vill vi även uppmärksamma dig om att Datainspektionen nu lanserat sin e-tjänst för incidentanmälan. Anmälningsformulär finner du här.

Slutligen, glöm inte att den registrerades rättigheter fortsätter att gälla även under rådande pandemi. Se till att ni har personer som fortsatt hanterar eventuella förfrågningar och begäran från registrerade. Fortsätt kampen att värna säkerheten och skyddet för era anställda och kunder!

Front Advokater har tillsatt en fokusgrupp med medlemmar från våra olika verksamhetsområden för att på bästa sätt bistå kunder vid de varierande frågeställningar och utmaningar som uppstår till följd av utbrottet av Covid-19. Vid frågor är ni alltid välkomna att kontakta oss.