Afsløring af følsomme data
Afsløring af følsomme data kan have store konsekvenserne for en person såvel som en virksomhed. For en enkeltperson kan det påvirke alt fra en personens job til deres forhold, til deres helbred og hjem. Følsomme data har fået sit navn af den årsag, at dets eksponering kan forårsage skade. Uanset om oplysninger kun eksponeres for et begrænset antal personer eller offentliggøres fuldstændigt, er det et stort problem. Denne blog handler om, hvad der kan ske for en enkeltperson og en virksomhed, når man følsomme data afsløres.
Hvad sker der, når man afslører følsomme data?
Eksponering af følsomme data er ikke en fejl, man kan rette op på. Når først data er afsløret online, kan en persons følsomme data være umulig at fjerne fra at være offentligt tilgængelige – eksempelvis på sociale medier, søgemaskiner og offentlige databaser. Her er nogle af de ting, der kan ske, hvis man kommer til at afsløre følsomme data:
- Man krænker folks privatliv. Når man lækker nogens personlige oplysninger, krænker det deres privatliv og kan endda bringe dem i fare. For eksempel, hvis man lækker en persons cpr-nummer, kan de nemt blive offer for identitetstyveri eller svindel. Selv hvis man lækker oplysninger, der er så basale som en persons navn, e-mailadresse eller telefonnummer, kan de blive offer for uønsket markedsføring eller endnu værre, chikane og stalking.
- Personens penge kan blive stjålet. Det siger sig selv, at det er usikkert at afsløre nogens kreditkortoplysninger eller bankoplysninger. Finansielle oplysninger, der går online ubeskyttet, er en invitation til uærlige personer, som kan udnytte dem til at røve personen eller foretage uautoriserede transaktioner i deres navn.
- Personen kan lide under diskrimination og uretfærdig behandling. Ved at afsløre følsomme data kan man placere personen i en befolkningsgruppe, der ikke har adgang til uddannelse, beskæftigelse, bolig, sundhedspleje og meget mere.
Der findes mange situationer i samfundet, hvor en borger er genstand for profilering – hvor en person skal træffe en hurtig beslutning om borgeren, baseret på en lille mængde information om vedkommende. Dette sker på første dates, under jobsamtaler, i retssale og videre. Men hvad nu hvis negativ information unødigt bliver smidt ind i blandingen, ud af kontekst og påvirker en vigtig beslutning om personen?
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Afslørede følsomme data kan bruges til unfair profilering
Profilering involverer i bund og grund at lave antagelser om mennesker eller forudsige deres adfærd baseret på deres historie eller karakteristika. At træffe meget vigtige beslutninger baseret på en begrænset mængde data om en person er standardpraksis for banker, forsikringsselskaber, udlejere, arbejdsgivere, retshåndhævelse og mere. Disse beslutninger kan påvirke folks levebrød, helbred, forhold og andre nøglefaktorer for deres lykke og velvære.
Profilering kan bestemt være nyttig, lovlig og retfærdig i visse sammenhænge. For eksempel kan en arbejdsgiver bede om at kontrollere en persons straffeattest med deres samtykke. Personen forstår, hvorfor posten er nødvendig, og hvordan den vil blive brugt. De giver det gerne. Efter at have set en ren politijournal, beslutter arbejdsgiveren at ansætte personen.
På den anden side, forestil dig, at du ved et uheld afslører personlige data om en andens fysiske eller mentale helbred. Deres kommende arbejdsgiver ser det. Arbejdsgiveren kan let blive partisk over for personen og give stillingen til en anden. Personen bliver offer for en uretfærdig beslutning, alt sammen fordi du har afsløret deres personlige oplysninger.
Hvis du afslører yderligere følsomme oplysninger om en person uden at være autoriseret til det, kan det påvirke beslutninger, der træffes om vedkommende i de kommende år. Her er et par andre eksempler på uretfærdig profilering, der kan ske, hvis du afslører en persons personlige data:
- En familie skal leje et feriehus, og de finder endelig det perfekte sted. De udfylder en lejeansøgning og sender den til udlejer. Udlejeren går på nettet og finder en negativ præstationsanmeldelse om ansøgeren, som din virksomhed har uploadet til det forkerte sted. Han beslutter sig for ikke at leje stedet ud til dem.
- En fødende mor har valgt en som adoptivforælder til sit ufødte barn. Senere finder hun information online, som du ved et uheld lækkede om deres politiske overbevisning for flere år siden, og hun ombestemmer sig.
- Du driver et rejseselskab, og en utilfreds medarbejder stjæler kunders rejsedata og lægger dem ud på det offentlige forum. Data han afslører om dine kunder inkluderer hvornår, hvor og med hvem de rejste. Dette påvirker deres ansættelse og forhold af forskellige årsager.
Listen kunne fortsætte. Uanset om det er at søge skole, kvalificere sig til forsikring, melde sig ind i en klub eller få et job eller lån; denne regel gælder: Resultatet for en person vil ofte afhænge af, hvilke oplysninger beslutningstagere har om dem. Det er derfor, de skal have kontrol over de personlige oplysninger, de giver.
Hvordan afsløring af følsomme data kan skade en virksomhed
Bortset fra den skade, man forvolder en person, hvis man kommer til at afsløre vedkommendes personlige data, kan en virksomhed også lide voldsomt, når dens følsomme data offentliggøres. Her er en række eksempler på, hvordan afsløring af følsomme data kan skade jeres virksomhed:
- Jeres omdømme lider et knæk. Når I afslører folks følsomme data, mister I deres tillid. Nyheden om et databrud spreder sig hurtigt, hvilket resulterer i negativ omtale og offentlig opfattelse. Kunder, klienter og partnere kan miste tilliden til jeres evne til at beskytte deres data. Dette kan direkte påvirke jeres forretningsmuligheder og forårsage langsigtet skade på jeres brand.
- I kan få en bøde eller blive tiltalt. De fleste lande har databeskyttelseslove på plads, som kræver, at organisationer træffer rimelige foranstaltninger for at beskytte følsomme oplysninger. Hvis I ikke kan bevise, at I gjorde alt, hvad I skulle for at beskytte data, kan I blive ramt af retssager, regulatoriske bøder og sanktioner.
- Det kan afbryde jeres forretningsaktiviteter. At håndtere følgerne af en hændelse med eksponering af følsomme data kræver masser af tid og ressourcer. I bliver nødt til at undersøge databruddet, inddæmme det, underrette berørte personer, implementere afhjælpningsforanstaltninger og forbedre sikkerhedsprotokollerne. Dette betyder operationel ineffektivitet, produktivitetstab og afledning af ressourcer fra forretningens kerneaktiviteter.
- I kan miste jeres konkurrencefordel. Et databrud kan afsløre jeres virksomheds forretningsoplysninger. For eksempel intellektuel ejendom, forretningshemmeligheder og proprietære algoritmer. Denne form for fortrolig information er en vigtig del af jeres forretning.
Kort sagt kan eksponering af følsomme data have alvorlige konsekvenser for jeres virksomhed, hvilket direkte påvirker jeres økonomi, omdømme og drift. Jo længere problemet varer, jo værre bliver det, og jo større ansvar for jeres virksomhed. Derfor er det så vigtigt at opdage svage punkter i jeres datasikkerhed, før de forårsager problemer.
Vil du have hjælp at undgå at afsløre persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Sådan kan I opdag problemer, der kan afsløre følsomme data
Organisering af jeres data er nøglen, hvis I vil styrke compliance og forhindre de årsager, der kan afsløre følsomme data. Start med at lave en oversigt over de følsomme data, I gemmer. Vær særlig opmærksom på følsomme persondata og fortrolige forretningsdata som IP og forretningshemmeligheder. Tjek, hvor I opbevarer det, og hvem der har adgang til det. Hold derefter øje med potentielle svage punkter, der kan bringe jeres mest værdifulde data i fare. Dette kunne være forældet software, usikre netværkskonfigurationer og utilstrækkelig adgangskontrol.
Hvis I gerne vil have en nem måde at organisere jeres følsomme data på og sikre, at I ikke afslører dem, så kig på vores Data Discovery-værktøj, DataMapper.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR