Robert er ofte nødvendig til e-mail-følsomme data. Er der en sikker måde at gøre det på baggrund af den nye lovgivning om databeskyttelse?
Thu, 29 Mar 2018 12.06 BST
Sidst ændret on Thu, 29 Mar 2018 12.07 BST
“Som en freelance medier, har jeg ofte spurgt af mine forskellige arbejdsgivere til at sende kopier af mit pas, afsluttet visa former og andre følsomme data i form af e-mail-vedhæftede filer.’
Foto: Hero Images/Getty Images/Hero Billeder
Som freelance medier, har jeg ofte spurgt af mine forskellige arbejdsgivere til at sende kopier af mit pas, afsluttet visa former og andre følsomme data i form af e-mail-vedhæftede filer. Jeg har for nylig sat spørgsmålstegn ved dette, og har ikke rigtig fået et tilfredsstillende svar. Jeg har prøvet at uploade disse dokumenter til min Google Drev med en Google-konto og give dem et link, selvom jeg ikke rigtig ved om denne metode er mere sikker. Men jeg er på et tab at se, hvordan virksomheder bør erhverve sådanne følsomme data i lyset af de nye GDPR regler, som træder i kraft i Maj. Robert
Eu ‘ s Generel Forordning om databeskyttelse (GDPR), som træder i kraft den 25 Maj, vil styre lagring og behandling af data snarere end sin samling. Det indeholder også nogle meget vigtige rettigheder som forbruger. De vigtigste er retten til at blive informeret, retten til aktindsigt, retten til at rette fejl, ret til at slette data, ret til at begrænse behandling, og retten tage det andre steder (data portabilitet). Hvor nyttige disse vil være i praksis, er endnu uvist.
Q&A Hvad er GDPR?
Vis
Skjul
Eu ‘ s nye stærkere, samlet lovgivning om databeskyttelse, Generel Forordning om databeskyttelse (GDPR), træder i kraft den 25 Maj 2018, efter mere end seks år.
GDPR vil erstatte det nuværende kludetæppe af nationale love om databeskyttelse, give data tilsynsmyndigheder større beføjelser til at pålægge, gøre det lettere for virksomheder med en “one-stop-shop” for at operere i hele EU, og oprette en ny pan-Europæiske data regulator kaldet det Europæiske databeskyttelsesråd.
De nye love regulerer behandling og opbevaring af oplysninger om EU-borgere, både den, der til og observeret af virksomheder om mennesker, uanset om virksomheden har aktiviteter i EU. De anfører, at beskyttelse af personoplysninger bør være både design og standard i enhver operation.
GDPR vil forfine og stadfæster retten til at blive glemt” love, som de “ret til sletning”, og giver EU-borgere ret til data overførsel, hvilket betyder at de kan tage data fra én organisation, og give det til en anden. Det vil også styrke kravet om udtrykkeligt og informeret samtykke, inden data bliver behandlet, og sikre, at den kan trækkes tilbage på ethvert tidspunkt.
For at sikre, at virksomhederne overholder, GDPR også giver data regulerende magt for at bøde på op til €20m eller 4% af den årlige globale omsætning, der er flere størrelsesordener større end tidligere muligt bøder. Brud på Data skal være indberettet inden for 72 timer til en data-regulator, og de berørte personer skal anmeldes, medmindre de stjålne data er ulæselige, dvs krypteret.
Var dette en hjælp?
Tak for din feedback.
“Personoplysninger” omfatter navne, adresser, telefonnumre og IP-adresser, samt whatGDPR kalder “faktorer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet, at fysisk person”. Der indbefatter biometri, såsom ansigt, fingeraftryk og iris anerkendelse, og den genetiske information. Med andre ord, du kan have personlige data, der identificerer en person, selv hvis du ikke kender deres navn.
GDPR gælder for virksomheder og organisationer, især dem med mere end 250 ansatte. Hjem og private brugere, er undtaget. Men, som en freelancer, kan du gemme og behandle data, selv om den “behandling” betyder blot at indtaste et navn i en adressebog, og slå det op. Du bør derfor gøre en revision af udstyr og software, du bruger til at sørge for, at andre folks personlige data er beskyttet. Dette kan kræve, at brugen af data backups, adgangskoder, kryptering, malware beskyttelse, og en VPN-forbindelse, når du bruger offentlige hotspots. Den GDPR også forpligter dig til at fortælle folk, hvis der er nogen sikkerhedsbrud.
Du bør også kontrollere din data til at sørge for, at du kun har data, som er nødvendige for dit job, eller at du er juridisk forpligtet til at afholde, fx til skat.
Den BRITISKE Information Commissioner ‘ s Office (ICO) er et nyttigt 12-trin-plan (PDF), men ligesom de fleste ting GDPR-relateret, er det med henblik på virksomheder. IBM ‘ s Liz Henderson giver en god oversigt i to stillinger på LinkedIn, GDPR Plan – har du din? og GDPR Indledende Trin, Hvad der bliver det Næste…?
Bemærk: GDPR er ved at blive ændret og gennemført i det forenede KONGERIGE af data protection bill, der stadig går gennem parlamentet. Det skal nævnes nogle undtagelser for journalistik, der ligner dem, i den tidligere DPA, så tjek, om disse gælder for dig.
E-mail problemer
Du har ret til at være bekymret for at sende ting via e-mail. E-mails som almindelig tekst, postkort, fordi de kan i teorien blive læst på en af de mange servere, hvorigennem de kan passere, eller af en person, trykke på en linje. Selvfølgelig, “læst af” det er usandsynligt at betyde “læst af et menneske.” Men software kan kigge efter ting som adgangskoder og kreditkortnumre.
En mere sandsynlig problem er at sende e-mails til den forkerte adresse, enten fordi brugerne har fået deres egen e-mail-adresser forkert, (det sker overraskende ofte), eller menneskelige fejl. Vælge den forkerte adresse fra en liste af auto-complete forslag, og du kan sende personlige data til den forkerte modtager. Dette ville være et brud på datasikkerheden, der kan indberettes.
Det ville naturligvis være godt, hvis alle mails, der var krypteret med standard, så kun modtageren kan læse dem. Tre årtiers historie siger, at det ikke kommer til at ske snart, hvis overhovedet. Public key-kryptering er for svært for folk, der blot ønsker at sende en normal e-mails.
E-mails som almindelig tekst, postkort, fordi de kan i teorien blive læst på en af de mange servere, hvorigennem de kan passere, eller af en person, trykke på en linje. Foto: Roger Tand for the Guardian
Nogle af de store organisationer ikke har krypteret e-mail tjenester, som NHS, men det betyder ikke hjælpe resten af os.
Nogle mennesker vælger sikker e-mail tjenester, såsom ProtonMail i Schweiz og Tutanota i Tyskland. Men du er også nødt til at sende eksterne modtagere en adgangskode – for eksempel i en SMS-besked – for at dekryptere e-mail.
Tutanota brugere får en e-mail der siger “du har en krypteret e-mail” og du klikker på et link for at læse det og svare på det, i en browser. Du er nødt til at eksportere e-mail, hvis du ønsker at beholde en kopi.
Der findes også plugins til Gmail og Microsoft Outlook e-mail-program, der giver sikker e-mail-tjenester. Hvis en af dine arbejdsgivere er ved hjælp af et sikkert system, kan de lade dig deltage i.
Hvis der ikke er andet alternativ, du bør kryptere og password-beskytte dine billeder og dokumenter, før du sender dem som vedhæftede filer. Igen, skal du sende adgangskoden, hver for sig, enten via en anden messaging-tjeneste, eller i det indlæg.
Online lagerpladser
Det er en god idé at uploade vedhæftede filer, og derefter sende et link. Men, huske på, at du er ved at uploade dokumenter til det selskab, der formentlig kører den største kontrolaktion på planeten. Kryptere dine dokumenter, inden du uploader dem.
Kryptering beskytter data, hvis en online storage-service er truet – det er sket – eller hvis din e-mail er blevet hacket.
Desværre bruger Google Drev med en Google bringer op en ekstra komplikation. Hvis du bruger Gmail, kan du antage, at dine data er ved at blive afholdt i eller passerer gennem, eller som er tilgængelige fra USA.
GDPR ikke tvinge brugere til at gemme data på servere, der er inden for EU. Dog, er der er ekstra krav, hvis servere er uden for EU. Første, du er nødt til at have en legitim grund til at overføre personoplysninger til tredjelande uden for EU. For det andet skal du have samtykke fra den person, hvis data er ved at blive eksporteret. For det tredje, skal du give denne person mulighed for at fravælge.
I en anden stilling, og den førnævnte Liz Henderson forklarer, hvordan du opretter en GDPR persondatapolitik, og du kan tilpasse sin prøve at dække lagring af Gmail uden for EU.
Du kan skifte til at bruge en e-mail-tjeneste, der fungerer fuldt ud inden for EU (se ovenfor), hvis det kun er for nogen mennesker, der fravælger, eller du kan opgradere til Google ‘ s betalte for service.
Google hævder, at dets G-Suite og Google Cloud Platform (GCP) er fuldt kompatibel med GDPR, fordi det giver at underskrive EU ‘ s Model, kontraktbetingelser og Databehandling Ændring. Det med småt bemærker, at “parterne anerkender og accepterer, at Ikke-Europæiske Lovgivning om databeskyttelse, kan også gælde for behandling af Kundens Personlige Oplysninger”, og at “Google ikke vil behandle Kundens Personlige Data til reklameformål eller tjene Reklame i Tjenester”.
Jeg tror ikke, GDPR faktisk vil stoppe reklame-drevet behandling af personoplysninger. Bare se frem til at at klikke på “jeg accepterer” for at masser af vilkår og betingelser, vil du ikke engang gider at læse.
IANAL!
Husk på, at GDPR er et juridisk spørgsmål, og jeg er ikke en advokat. Jeg er heller ikke ekspert på GDPR. Virksomheder, der kan idømmes en bøde på op til 20 millioner euro eller 4% af deres årlige omsætning skal tage det her alvorligt, og følg ICO ‘ s rådgivning. Masser af konsulentvirksomheder tilbyder vejledninger, uddannelse, software toolkits og andre tjenester, også.
Freelancere som os er ikke målet, men vi skal arbejde på at opfylde så godt vi kan. I særdeleshed, må du ikke holde nogen personlige data, som du ikke har brug for, og opbevarer og bruger det korrekt. Faktisk, du skal gøre de ting selv, hvis GDPR ikke eksisterer.
Har du et spørgsmål? E-mail det til Ask.Jack@theguardian.com