Sommar och sol och så lite jobb
Jag har skickat in mitt andra klagomål till Datainspektionen på företag som enligt min mening missköter sig så fruktansvärt att jag blir alldeles matt. Och självklart är det inte assistansföretag! De här företagen får mig att förstå hur viktigt det faktiskt ÄR att värna människors personuppgifter.
Det första företaget är ett mediaföretag vars sida jag råkade hamna på när jag sökte efter bilder. De ville ha mitt godkännande att samla personuppgifter bara för att kunna se bilden. Eftersom det här var ett företag som jag inte var särskilt intresserat av att de skulle få mina personuppgifter så valde jag att titta lite närmare på hur de tänkte behandla dem. När jag gick in på den sidan visade det sig att det var förvalt att jag skulle godkänna samtliga av deras underleverantörer - och det var MÅNGA! Typ flera hundra. Så för att INTE lämna godkännande var jag alltså tvungen att sitta och plutta bort alla godkännanden. Vilket troligen tagit mig en eller ett par timmar eftersom det var oändligt många godkännande, uppdelade på flera olika områden där varje företag förekom flera gånger. GALET dåligt!
Det andra företaget är ett företag som registrerar pulsmätning. Jag vill ha något som reggar min puls så jag kan se om jag lyckas förbättra mina träningsresultat. Jag köpte glad i hågen mätaren men den gick inte att använda utan att jag först registrerade mig (och den) på nätet. För att kunna göra det var jag tvungen att gå med på att lämna samtycke till att de sparade ALLA de personuppgifter som registrerades via pulsmätaren och att dessa fördes över till "USA och andra länder". Lika illa det tycker jag. Jag köpte en produkt där jag inte visste att den inte gick att använda om jag inte gick med på att dela med mig av mitt liv till diverse företag runt om i världen.
Den här formen av avarter förekommer ju troligen inte inom assistansen men det innebär inte att vi är fläckfria på något sätt. Jag tar upp några av de problem jag stöter på ibland i min roll som dataskyddsombud och när jag håller utbildningar:
1. Känsliga personuppgifter skickas över oskyddad mail eller som SMS.
Det här är kanske det vanligaste problemet. Och det roliga (eller vad man nu ska kalla det) är att många har valt att köpa mer eller mindre dyra lösningar för att skydda assistenternas känsliga personuppgifter, t ex genom att använda KIVRA eller liknande för att skicka lönebesked som KAN innehålla känsliga personuppgifter i form av sjukfrånvaro. Däremot skyddas inte den assistansberättigades personuppgifter alls på samma sätt utan beslut, diskussioner om behov, överklagningar etc skickas hej vilt över oskyddat nät.
2. Uppgifter gallras inte
Det finns möjligen rutiner för hur de SKA gallras men detta följs inte. Istället gallras lite när man har tid.
3. Det saknas rutiner för att se över registerförteckning
Kanske (?!?) skapades en registerförteckning när GDPR var som hetast men sen lämnades denna till sitt öde istället för att användas som en levande del i det systematiska peronsuppgiftsskyddsarbetet.
Ni kanske tycker det låter besvärligt? Men jag tror inte det behöver vara det. Många av er har ju fått kläm på det systematiska arbetsmiljöarbetet och några arbetar också aktivt med systematiskt kvalitetsarbete. Båda är naturligtvis nödvändiga. Men lika nödvändigt borde det vara att arbeta med personuppgiftsskydd. Personuppgifter är det känsligaste vi har i våra verksamheter. Personuppgifter som kommer på villovägar är ett av de största hoten. Visste du att under 2018 var det mer än 90000 identitetskapningar anmälda till polisen under perioden januari - augusti! Det behöver ju inte ens vara känsliga personuppgifter utan det räcker med ett läckt personnummer. Varför inte sprida lite kunskap i era verksamheter hur man kan skydda sig som privatperson? Här är en bra länk för det: https://www.stoldskyddsforeningen.se/privat/sakerhetsradgivning-for-privatpersoner/id-kapning/
Men som arbetsgivare måste ni göra mer än det. Ni måste också se till att det finns fungerade sätt att kontakta er på skyddade vägar, t ex genom att använda en krypterad e-post och krypterad SMS-tjänst. Ni måste utse ett dataskyddsombud. Ni måste ständigt se över er registerförteckning och se till att den är aktuell. Ni måste se till att den information ni har ute på mobiler, i register på arbetsplatserna, på arbetsdatorer som står ute hos assistansberättigade mm mm är skyddade och att uppgifter inte läcks eller försvinner den vägen. Med mera. Med mera.
Jag ser fram emot en höst när den här frågan blir en av många viktiga att diskutera och utbilda sig i.