Är fysiske dokument den verkliga GDPR-fällan?

Du har analyserat alla de ställen där GDPR kan få betydelse och identifierat alla personuppgifter. Du har utfärdat plastkort och bedömt personalens åtkomstprivilegier. Du har infört en process som uppfyller GDPR för varje tänkbar databehandling och säkerställt en noggrann revision av varje dokumentrelaterad handling. Du har till och med anlitat de duktigaste GDPR-juristerna, och de har gett dig grönt ljus.

Och så samma dag eller dagen efter GDPR träder i kraft lägger några smarta personer på företaget en utskrift av hela kunddatabasen i kontorets papperskorg.

GDPR är mer än bara teknik

Exakt vad som bör och inte bör ske med de fysiska pappersdokumenten är den uppenbara döda vinkeln i varje GDPR-plan. Organisationens försök på att uppfylla dataskyddsförordningen kan förstöras helt om människor inte förstår själva syftet bakom dataskyddet och inte behandlar pappersutskrifter och skannade dokument med den försiktighet som krävs.

Överväg följande scenarier:

  • Ett möte i ett konferensrum är slut men ingen av mötesdeltagarna samlar ihop alla utskrifter som ligger på bordet. Här bryter de mot GDPR-förordningen eftersom utskrifterna innehåller personuppgifter.
  • De anställda har så bråttom att de lämnar alla sina dokument med känsliga uppgifter i en fin hög till sekreteraren, så att denne kan makulera dem när han eller hon kommer tillbaka från semestern. Det är ett brott mot GDPR-reglerna.
  • Några av medarbetarna ligger efter med uppgifterna på kontoret och alla papperskorgarna med returpapper är överfulla. Det är ett brott mot GDPR.
  • Det är Kates 40-årsdag så alla lämnar kontoret precis klockan 17.30 för att gå till en bar och fira henne. Några glömmer att tömma sina skrivbord. På en del skrivbord ligger dokument med känsliga personuppgifter – och det är alltså ett brott mot GDPR.
  •  Enligt GDPR-förordningen kommer vart och ett av dessa scenarier att ändra dokumentets status från att ha betraktats som säkert förvarat när det handlar om att uppfylla GDPR till att nu plötsligt vara ett ”offentligt dokument”. Och därmed ändras även den ansvariga organisationens status drastiskt – nu kan den inte längre betraktas som en organisation som uppfyller GDPR.

Men nu till det viktiga

De brott mot GDPR-reglerna som beskrivs ovan begås inte av kriminella. Det är faktiskt bara oskyldiga exempel på något som är naturligt för oss alla, nämligen att fela. Men försök säga det till de myndigheter som har befogenhet att utfärda enorma böter eller ge den aktuella organisationen en tillrättavisning.

Om vi bortser från GDPR-reglerna en stund bör du fundera över om överträdelser av det här slaget överhuvudtaget borde inträffa, oavsett om det finns regler för det eller inte. Människor har rätt att få sina personuppgifter behandlade försiktigt och konfidentiellt. Och att låta dokument ligga framme strider naturligtvis mot detta.

Människor och processer

Det handlar inte bara om personalens uppmärksamhet eller till och med utbildning. Om vi överlåter det till människors uppmärksamhet är det lätt för dem att ”glömma” sin medfödda ansvarskänsla. Det är viktigt att vi uppmärksammar problemet och utarbetar processer som alla medarbetare informeras om. När dessa processer har dokumenterats visar de att du uppfyller GDPR, och de visar en skyldighet att göra sitt bästa även om något fel skulle inträffa i framtiden.

Med KYOCERAs teknik kan organisationer uppnå optimal cybersäkerhet och datahantering, men även vi inser att tekniken inte räcker hela vägen. Dina anställda är det viktigaste försvaret mot alla hot mot dataskyddet eller integriteten, och din bästa investering kan vara att informera dem om vad de ska göra.

Vill du veta mer om GDPR, klicka här för gratis råd.

Scroll to top