Robert är ofta som krävs för att e-post känsliga uppgifter. Är det ett säkert sätt att göra det på grund av nya lagar om skydd för personuppgifter?
Tors 29 Mar 2018 12.06 BST
Senast ändrad Tors 29 Mar 2018 12.07 BST
“Som en frilansande media, jag får ofta frågan av mina olika arbetsgivare för att sända en kopia av mitt pass, ifyllda visum former och andra känsliga uppgifter i form av e-postbilagor.’
Foto: Hero Bilder/Getty Images/Hero Bilder
Som frilans med media, jag får ofta frågan av mina olika arbetsgivare för att sända en kopia av mitt pass, ifyllda visum former och andra känsliga uppgifter i form av e-postbilagor. Jag har nyligen ifrågasatte detta och har egentligen inte fått ett tillfredsställande svar. Jag har försökt att ladda upp dessa dokument för att min Google Drive-konto och ge dem en länk, men jag vet inte riktigt om denna metod är något säkrare. Men, jag är med förlust för att se hur företag bör skaffa sådana känsliga uppgifter i ljuset av den nya GDPR regler trädde i kraft i Maj. Robert
Europeiska Unionens Allmänna uppgiftsskyddsförordningen (GDPR), som träder i kraft den 25: e Maj, kommer att styra lagring och bearbetning av data snarare än sin samling. Den innehåller också några mycket viktiga rättigheter som konsument. Det viktigaste är rätten till information, rätt, rätt att avhjälpa fel, rätt att radera uppgifter, rätt att begränsa behandling och rätt att ta det någon annanstans (data portability). Hur användbara dessa kommer att bli i praktiken återstår att se.
Q&A Vad är GDPR?
Visa
Dölja
Eu: s nya starkare, enhetligt skydd för lagar, det Allmänna dataskyddsdirektivet Förordning (GDPR), trädde i kraft den 25 Maj 2018, efter mer än sex år.
GDPR kommer att ersätta dagens lapptäcke av nationella lagar om skydd för personuppgifter, ge uppgifter som tillsynsmyndigheter ökade befogenheter att fine, gör det enklare för företag med en “one-stop-shop” för verksamma över hela EU, och skapa en ny pan-Europeisk data regulator kallas European Data Protection Board.
De nya lagarna gäller hantering och lagring av EU-medborgarnas uppgifter, både som ges och följas av företag om människor, om inte företaget har verksamhet i EU. De hävdar att skyddet av personuppgifter bör vara både genom design och standard i all verksamhet.
GDPR kommer att förfina och bygga på “rätt att bli glömd” lagar som “rätten till radering”, och ger EU-medborgare rätt att överföra data, vilket innebär att de kan ta data från en organisation och ge den till en annan. Det kommer också att stärka kravet på uttryckligt och informerat samtycke före data behandlas, och se till att det kan återkallas när som helst.
Att se till att företag följer, GDPR innehåller också uppgifter som tillsynsmyndigheterna befogenhet till böter på upp till 20 miljoner euro eller 4% av den årliga totala omsättningen, vilket är flera storleksordningar större än tidigare eventuella böter. Data överträdelser ska rapporteras inom 72 timmar på en data-regulator, och berörda personer skall informeras om de uppgifter som stulits är oläslig, dvs starkt krypterad.
Var detta till hjälp?
Tack för din feedback.
“Personuppgifter” innehåller namn, adresser, telefonnummer och IP-adresser, samt whatGDPR samtal “faktorer som är specifika för fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet som fysisk person”. Som innehåller biometriska kännetecken såsom ansikte, fingeravtryck och iris erkännande, och genetisk information. Med andra ord, du kan ha personliga data som identifierar någon även om du inte känner till deras namn.
GDPR gäller företag och organisationer, i synnerhet de med fler än 250 anställda. Hem och hushåll användare som är undantagna från skatteplikt. Men, som frilansare, du lagra och bearbeta data, även om “bearbetning” innebär bara att skriva in ett namn i en adressbok och letar upp det. Du bör därför göra en granskning av den utrustning och programvara som du använder för att se till att andra människors personliga uppgifter är skyddade. Detta kan kräva användning av data, backup, lösenord, kryptering, skydd mot skadlig kod, och en VPN-när du använder offentliga hotspots. Den GDPR också tvingar dig att berätta för människor om det inte är något brott mot säkerheten.
Du bör också granska din data för att se till att du bara håller på data som är nödvändiga för ditt jobb, eller att du enligt lag är skyldig att hålla, t.ex. för skatteändamål.
UK Information Commissioner ‘ s Office (ICO) har en användbar 12-steg-plan (PDF), men som de flesta saker GDPR-relaterade, den riktar sig till företag. IBM: s Liz Henderson ger en bra sammanfattning i två inlägg på LinkedIn, GDPR Plan – har du din? och GDPR Första Steg, Vad är Nästa steg…?
Obs: GDPR ändras, och genomförs i STORBRITANNIEN av dataskydd bill, som fortfarande går igenom parlamentet. Det bör innehålla vissa undantag för journalistik liknar dem som finns i den tidigare DPA, så kontrollera om detta gäller dig.
E-problem
Du har rätt att vara bekymrad över att skicka saker via e-post. E-post är mer som vanlig text vykort, eftersom de kan, i teorin, att läsa på någon av de många servrar som de går igenom, eller av någon knacka på en linje. Naturligtvis, “läsa av” det är osannolikt att betyda “läsa av en människa.” Men, programvara kan leta efter saker som lösenord och kreditkortsnummer.
Ett mer sannolikt att problemet är att skicka e-post till fel adress, antingen på grund av att användare har fått sina egna e-postadresser fel (det händer förvånansvärt ofta), eller genom den mänskliga faktorn. Plocka fel adress från en lista av autoavsluta-förslag och du kan skicka personlig data till fel mottagare. Detta skulle vara ett dataintrång som kan rapporteras.
Det skulle naturligtvis vara bra om alla var krypterade e-postmeddelanden som standard så att endast den avsedda mottagaren kan läsa dem. Tre decennier av historien säger att detta inte kommer att hända snart, om alls. Kryptering med offentlig nyckel är för svårt för människor som bara vill skicka vanlig e-post.
E-post är mer som vanlig text vykort, eftersom de kan, i teorin, att läsa på någon av de många servrar som de går igenom, eller av någon knacka på en linje. Foto: Roger Tand för Väktare
Vissa stora organisationer har krypterat e-tjänster, såsom NHS, men det hjälper inte resten av oss.
Vissa människor väljer säkra e-tjänster, såsom ProtonMail i Schweiz och Tutanota i Tyskland. Men du måste även skicka externa mottagare av ett lösenord som till exempel i ett SMS-meddelande – för att dekryptera e-post.
Tutanota användare får ett e-postmeddelande som säger “du har en krypterad e-post” och du klicka på en länk för att läsa den och svara på den i en webbläsare. Du måste exportera e-post om du vill behålla en kopia.
Det finns också plugins för Gmail och Microsoft Outlook-e-post-programmet för att ge en säker e-tjänster. Om din arbetsgivare är med hjälp av ett säkert system, kan de låta dig gå med i.
Om det inte finns några andra alternativ, bör du kryptera och lösenordsskydda dina bilder och dokument innan du skickar dem som e-postbilagor. Igen, måste du skicka lösenordet separat, antingen via en annan messaging service eller i efterhand.
Online-lagring
Det är en bra idé att ladda upp bilagor och sedan skicka en länk. Men ha i åtanke att du ladda upp dokument till företag som förmodligen går den största övervakning operation på planeten. Kryptera dina dokument innan du laddar upp dem.
Kryptering skyddar data om en lagringstjänst online som är genomförda, det har hänt – eller om din e-post är hackad.
Tyvärr använder Google Drive och tar upp en extra komplikation. Om du använder Gmail, då kan du anta att dina uppgifter hålls i eller passerar genom, eller tillgänglig från USA.
GDPR inte tvinga användare att lagra data på servrar inom EU. Men det finns extra krav om servrar som finns utanför EU. Först, du måste ha ett legitimt skäl för att överföra personuppgifter till länder utanför EU. För det andra, du måste ha samtycke av den person vars uppgifter är att exporteras. För det tredje, måste du ge denna person möjlighet att välja ur.
I ett annat inlägg, är den tidigare nämnda Liz Henderson förklarar hur man skapar ett GDPR integritetspolicy, och du kan anpassa sitt prov för att täcka Gmail förvaring utanför EU.
Du kan byta till att använda en e-tjänst som fungerar helt och hållet inom EU (se ovan), om så bara för några människor som väljer ut, eller så kan du uppgradera till Google betalade för tjänsten.
Google hävdar att G-Sviten och Google Cloud Platform (GCP) tjänster som är fullt kompatibel med GDPR, eftersom det erbjuder sig att underteckna EU: s Modell Avtalsklausuler och en Databehandling Ändring. Det finstilta konstaterar att “parterna bekräftar och accepterar att Icke-Eu-Lagstiftning om Skydd av Personuppgifter kan även gälla för behandling av Kundens Personuppgifter” och att “Google kommer inte att behandla Kundens Personuppgifter för Reklam eller tjäna som Reklam i Tjänst”.
Jag tror inte att GDPR faktiskt kommer att stoppa reklam-driven behandling av personuppgifter. Ser bara fram emot att klicka “jag accepterar” för att massor av villkor och du kommer inte ens bry sig om att läsa.
IANAL!
Tänk på att GDPR är en juridisk fråga, och jag är inte en jurist. Jag är inte heller expert på GDPR. Företag som kan ge böter på upp till 20 miljoner euro eller 4 procent av deras årliga omsättning bör ta det här på allvar och följa ICO: s råd. Massor av konsultföretag som erbjuder guider, utbildning, programvara verktyg och andra tjänster också.
Frilansare som oss är inte målet, men vi bör arbeta för att uppfylla så gott vi kan. I synnerhet inte några personliga uppgifter som du inte behöver, och lagra och använda den på ett säkert sätt. Ja, du bör göra dessa saker även om GDPR inte finns.
Har du en fråga? E-post till Ask.Jack@theguardian.com