Efter Corona – att arbeta hemifrån utifrån ett GDPR-perspektiv
Den ökade risken för dataintrång som uppstår i samband med hemarbete, hur bör det hanteras och vad gör man om ett intrång sker?
Till följd av coronavirusets utbrott har många branscher behövt ställa om sina verksamheter på ett eller annat sätt. För att minimera smittspridningen gick Folkhälsomyndigheten under mars månad ut med rådet att personer, främst i Stockholmsområdet, som har möjlighet att arbeta hemifrån bör göra det. Många arbetsplatser ställde därför om och sedan dess är det många arbetstagare som sköter sitt arbete hemifrån. Det kan även komma att bli att allt mer arbete kommer att skötas hemifrån, även när samhället kan börja återgå till det normala igen. Även om arbetssysslorna är flyttade från det ordinarie kontorets lokaler till arbetstagarens eget hem, måste fortfarande verksamhetens rutiner efterlevas. Till exempel ökar riskerna för dataintrång och cyberattacker i samband med hemarbete eftersom verksamhetens ordinarie skydd inte kan efterlevas på samma sätt som det normalt kan göras på den ordinarie arbetsplatsen. Dessutom kan det uppstå bekymmer gällande arbetsmiljön när arbetsplatsen nu har förflyttats till hemmiljön. Som exempel kan nämnas att arbetsgivaren till exempel fortfarande har ett arbetsmiljöansvar för sina anställda. Mer om det kan du läsa om i den här artikeln.
GDPR tillämplig även vid hemarbete
Med arbete hemifrån är det lätt att tumma på ordinarie säkerhetsrutiner som företaget har ställt upp för att skydda sin data. Oavsett varifrån arbetet utförs är det viktigt att skydda uppgifterna så att de inte hamnar i fel händer. Det kan handla om såväl fysiska dokument som lämnas framme på köksbordet som får agera temporärt skrivbord, som att skydda de system som finns på datorn som kan råka ut för skadliga program. Att upprätthålla säkerheten är alltid lika viktigt för att skydda de personuppgifter som behandlas och GDPR är tillämplig även vid hemarbete. Som arbetsgivare är det därför viktigt att se till att medarbetarna är väl informerade om vilka rutiner som företaget har för att skydda behandlingen av personuppgifter.
Eftersom det är oklart hur länge den pågående situationen med hemarbete kommer att fortsätta, kan det vara en god idé att upprätta en separat policy med riktlinjer för vad som ska gälla just för hemarbete och hanteringen av personuppgifter. En god start är att arbetsgivaren säkerställer vilka personuppgifter som faktiskt behandlas av arbetstagaren. Förekommer det personuppgifter i stor mängd eller känsliga personuppgifter? Är arbetstagaren medveten om vilka uppgifter som denne behandlar? Som arbetsgivare är det viktigt att känna till detta, tillsammans med mycket annat i personuppgiftshanteringen. Ytterligare ett exempel på en lämplig åtgärd för arbetsgivaren att vidta vid hemarbete, är att se till att arbetet endast sker när det finns ett säkert hemnätverk som är väl skyddat mot obehöriga anslutningar. Exempelvis kan ett nätverk skyddas med flerfaktorsautentisering för att öka säkerheten eller se till att anslutningen sker via s.k. VPN. Gällande själva lösenordet till internet har ett privat wifi inte sällan lösenord av enklare slag, det kan därför vara en god idé att som arbetsgivare ställa vissa krav på lösenordsnivån samt att lösenordet kontinuerligt bör bytas ut. Det är särskilt viktigt med sådana åtgärder då känsliga personuppgifter behandlas.
Myndigheten för samhällsskydd och beredskap, MSB, har publicerat råd om hur företag och organisationer kan hantera arbete hemifrån för medarbetarna för att arbetet ska kunna ske på ett säkert sätt. Dessa går att läsa här.
Hur ska man agera vid ett dataintrång?
Även om arbetsgivaren har infört nya säkerhetsrutiner för arbete hemifrån samt säkerställt att dessa efterlevs av arbetstagaren, kan olyckan ändå vara framme och ett intrång kan inträffa. För att minimera skadan är det viktigt att veta hur ett intrång ska hanteras och att agera snabbt. Om dataintrånget innebär att personuppgifter har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer, så har det inträffat en personuppgiftsincident. Även om incidenten har inträffat när arbetet har skett hemifrån, gäller fortfarande reglerna om att personuppgiftsincidenten i vissa fall måste anmälas till Datainspektionen inom 72 timmar från det att dataintrånget upptäcktes. Det räcker alltså inte att polisanmäla dataintrånget, utan i många fall måste även en anmälan göras till Datainspektionen. Om arbetsgivaren skulle misslyckas med att anmäla incidenten eller att anmäla den för sent, riskerar arbetsgivaren sanktionsavgifter. Se därför till att rutinerna för incidentrapportering fungerar även om medarbetarna arbetar på distans.
Hur kommer det att se ut framöver?
Det är ingen som vet hur länge Covid-19-pandemin kommer att pågå eller hur länge rekommendationerna att arbeta hemifrån kommer att gälla. Däremot är det redan nu flera stora företag världen över som överväger att fortsätta att låta sina medarbetare arbeta på distans även efter krisens slut. Om det skulle bli fallet är det viktigt för arbetsgivarna att vara redo inför den förändringen. Finns de system som behövs på plats för att kunna sköta det mesta på distans? Finns det tillgång till IT-avdelning som kan ge support om det skulle inträffa något? Det kanske inte känns som det mest naturliga att investera i kristider, men det kan vara en klok idé att ha rätt IT-lösningar och säkerhetssystem på plats. Om vi nu kommer att övergå till att hålla fler och fler möten digitalt kommer förmodligen kostnaderna för resor att minska till exempel.
Se även till att hålla medarbetarna uppdaterade om vilka rutiner som gäller och säkerställ att de säkerhetskrav som finns efterlevs. Kontrollera detta med jämna mellanrum och håll antivirus-program och andra program på medarbetarnas utrustning uppdaterade. Kom ihåg att det kan ta en tid innan medarbetarna anpassar sig till nya rutiner och arbetssätt, det är därför naturligt att allt inte kommer fungera helt smärtfritt redan från start. Uppdatera distansarbetspolicyn vid behov allteftersom det behövs och utbilda personalen så att de vet vad som gäller.
Med dagens möjligheter till distansarbete är det förhållandevis enkelt för arbetstagarna att anpassa sig till de nya förhållandena som råder. Se däremot till att inte släppa kontrollen eftersom felaktigt hanterade dataintrång kan leda till höga sanktionsavgifter för företaget. Med rätt rutiner och policies på plats kan företaget skydda sin data och undvika stora skador även om olyckan skulle vara framme. Om ni ser till att rusta nu under pågående kris, kommer ni också att vara väl förberedda inför framtiden.