Robert er ofte nødvendig for å sende e-post sensitive data. Er det en sikker måte å gjøre dette i lys av den nye lover om databeskyttelse?
Tor 29 Mar 2018 12.06 BST
Sist endret på Tor 29 Mar 2018 12.07 BST
“Som en frilans media profesjonell, er jeg ofte spurt av mine ulike arbeidsgivere til å sende kopier av passet mitt, fullført visa skjemaer og andre sensitive data i form av e-postvedlegg.’
Foto: Helten Bilder/Getty Images/Helten Bilder
Som frilans media profesjonell, er jeg ofte spurt av mine ulike arbeidsgivere til å sende kopier av passet mitt, fullført visa skjemaer og andre sensitive data i form av e-postvedlegg. Jeg har nylig stilt spørsmål ved dette, og har egentlig ikke fått et tilfredsstillende svar. Jeg har prøvd å laste opp disse dokumentene til min Google Disk-kontoen din og gi dem en kobling, men jeg vet egentlig ikke om denne metoden er noe tryggere. Men, jeg er på et tap å se hvordan selskaper bør få slike sensitive data i lys av den nye GDPR reglene trådte i kraft i Mai. Robert
Eu ‘ s General Data Protection Regulation (GDPR), som trer i kraft 25. Mai, vil også gjelde for lagring og prosessering av data snarere enn sin samling. Det inkluderer også noen svært viktige forbrukerrettigheter. De viktigste er retten til å bli informert, rett til innsyn, rett til å korrigere feil, rett til å slette data, retten til å begrense behandlingen, og retten ta den et annet sted (data portabilitet). Hvor nyttig disse vil være i praksis, gjenstår å se.
Q&A Hva er GDPR?
Vis
Skjul
Eus nye, sterkere, unified lover om databeskyttelse, General Data Protection Regulation (GDPR), vil tre i kraft 25. Mai 2018, etter mer enn seks år å lage.
GDPR vil erstatte dagens lappeteppe av nasjonale lover om databeskyttelse, gi data regulatorer større krefter til fine, gjør det enklere for selskaper med en “one-stop-shop” for å operere på tvers av hele EU, og opprette en ny pan-Europeisk data regulator kalt European Data Protection Board.
Den nye lover regulerer behandling og lagring av EU-borgernes data, både det som er gitt til og observert av selskaper om mennesker, om selskapet har virksomhet i EU. De oppgir at data protection skal bli både ved utforming og standard i enhver operasjon.
GDPR vil avgrense og enshrine “retten til å bli glemt” lover som “retten til å slette”, og gir EU-borgere rett til data portabilitet, som betyr at de kan ta data fra en organisasjon, og gi det til en annen. Det vil også styrke kravet om uttrykkelig og informert samtykke før data blir behandlet, og sikre at det kan trekkes tilbake når som helst.
For å sikre at selskapene er i samsvar, GDPR gir også data regulatorer makt til å bot opp til €20 eller 4% av årlig global omsetning, noe som er flere størrelsesordener større enn tidligere mulig bøter. Data brudd skal rapporteres innen 72 timer til en data-regulator, og berørte enkeltpersoner må være varslet, med mindre de data som er stjålet er uleselig, dvs. sterkt kryptert.
Var dette nyttig?
Takk for din tilbakemelding.
“Personlige opplysninger” omfatter navn, adresser, telefonnumre og IP-adresser, samt whatGDPR kaller “faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet som fysisk person”. Som inkluderer biometri, for eksempel ansiktet, fingeravtrykk og iris anerkjennelse, og genetisk informasjon. Med andre ord, du kan ha personlige data som identifiserer noen, selv om du ikke kjenner til navnet sitt.
GDPR gjelder for selskaper og organisasjoner, spesielt de med mer enn 250 ansatte. Hjem og husholdning brukere er unntatt. Men som frilanser, kan du lagre og behandle data, selv om “behandling” betyr bare å skrive inn et navn i en adressebok, og ser det opp. Du bør derfor gjøre en revisjon av enheter og programvare du bruker til å sørge for at andre menneskers personlige data er beskyttet. Dette kan kreve bruk av sikkerhetskopiering av data, passord, kryptering, malware protection, og en VPN når du bruker offentlige hotspots. Den GDPR også forplikter deg til å fortelle folk om det er noen brudd på sikkerheten.
Du bør også overvåke dine data for å sikre at du bare holde data som er nødvendig for at dine jobber, eller at du er juridisk forpliktet til å holde, for eksempel for skatte-og avgiftsformål.
STORBRITANNIAS Information Commissioner ‘ s Office (ICO) har en nyttig 12-trinns plan (PDF), men som de fleste ting GDPR-relaterte, det er rettet mot bedrifter. IBMS Liz Henderson gir en god oppsummering i to innlegg på LinkedIn, GDPR Plan – har du din? og GDPR Første Skritt, Hva blir det Neste…?
Merk: GDPR blir modifisert og implementert i NORGE av data protection bill, som fortsatt går gjennom i parlamentet. Den bør inneholde noen unntak for journalistikk samme som i den forrige DPA, så sjekk om dette gjelder deg.
E-problemer
Du har rett til å være bekymret for å sende ting via e-post. E-post er mer som ren tekst postkort fordi de kan, i teorien, være lest på noen av de mange servere som de passerer, eller av noen som å trykke på en linje. Selvfølgelig, “lest av” vil neppe bety “leses av et menneske.” Imidlertid, programvare, kan du se etter ting som passord og kredittkortnumre.
En mer sannsynlig problemet er å sende e-post til feil adresse, enten fordi brukere har fått sine egne e-postadresser feil (dette skjer ofte), eller gjennom menneskelige feil. Plukke feil adresse fra en liste av auto-fullføre forslag, og du kan sende personlige data til feil mottaker. Dette ville være et datainnbrudd som kan ha til å bli rapportert.
Det ville selvsagt være bra hvis alle e-poster ble kryptert av standard, slik at bare mottakeren kunne lese dem. Tre tiår med historien sier at dette ikke kommer til å skje snart, hvis i det hele tatt. Offentlig nøkkel kryptering er for vanskelig for folk som bare vil sende en vanlig e-post.
E-post er mer som ren tekst postkort fordi de kan, i teorien, være lest på noen av de mange servere som de passerer, eller av noen som å trykke på en linje. Foto: Roger Tann for the Guardian
Enkelte store organisasjoner har kryptert e-post tjenester, som for eksempel NHS, men som ikke hjelper resten av oss.
Noen mennesker velger sikker e-tjenester, for eksempel ProtonMail i Sveits og Tutanota i Tyskland. Imidlertid, du må også sende eksterne mottakere et passord, for eksempel i en SMS-melding – hvis du vil dekryptere e-post.
Tutanota brukere får en e-post som sier “du har en kryptert e-post” og du klikker på en link for å lese den og svare på den i en nettleser. Du har for å eksportere e-post hvis du ønsker å beholde en kopi.
Det finnes også plugins for Gmail og Microsoft Outlook e-postprogram som gir sikker e-tjenester. Hvis en av dine arbeidsgivere er ved hjelp av et sikkert system, de kan la deg delta i.
Hvis det er ingen andre alternativ, bør du kryptere og passordbeskytte dine bilder og dokumenter før du sender dem som e-postvedlegg. Igjen, må du sende passordet separat, enten via en annen messaging-tjenesten eller i posten.
Online lagringsområde
Det er en god idé å laste opp vedlegg og deretter send en link. Imidlertid, husk at du laster opp dokumenter til selskapet som trolig går den største overvåking drift på planeten. Krypter dokumentene dine før du laster dem opp.
Kryptering beskytter data om en online lagringstjeneste er kompromittert – det som har skjedd – eller hvis e-posten din er hacket.
Dessverre, bruker Google Drive bringer opp en ekstra komplikasjon. Hvis du bruker Gmail, så du kan anta at dine data blir holdt i, eller passerer gjennom, eller som er tilgjengelig fra USA.
GDPR ikke tvinge brukerne til å lagre data på servere inne i EU. Men det er ekstra krav om servere er utenfor EU. Første, du må ha en legitim grunn til å overføre personlige data utenfor EU. Andre, må du ha samtykke fra den personen som data blir eksportert. Tredje, må du gi vedkommende mulighet til å melde deg ut.
I et annet innlegg, nevnte Liz Henderson forklarer hvordan du oppretter en GDPR Merknad om Personvern, og du kan tilpasse sitt eksempel for å dekke Gmail-lagring utenfor EU.
Du kan bytte til å bruke en e-post tjeneste som opererer helt i EU (se ovenfor), om bare for noen folk som melder seg ut, eller du kan oppgradere til Googles betalt-for service.
Google hevder at dens G Suite og Google Cloud-Plattform (GCP) tjenester som er fullt kompatible med GDPR, fordi det gir å logge EU-Modell kontraktklausuler og databehandling Endring. Den fine print bemerker at “partene erkjenner og samtykker i at Ikke-Europeisk Lovgivning for Beskyttelse av Data kan også gjelde for behandling av Kundens personopplysninger” og at “Google vil ikke behandle Kundens Personlige Data for reklameformål eller tjene Reklame i Tjenestene”.
Jeg tror ikke GDPR vil faktisk stoppe reklame-drevet behandling av personopplysninger. Bare se frem til å klikke på “jeg er enig” til mange av vilkår og betingelser som du ikke engang gidder å lese.
IANAL!
Husk at GDPR er et juridisk spørsmål, og jeg er ikke en advokat. Jeg er heller ikke en ekspert på GDPR. Bedrifter som kan bli ilagt bøter på opp til €20 millioner kroner, eller 4% av deres årlige omsetning bør ta slike ting på alvor og følge ICO råd. Mange konsulentselskaper tilbyr guider, opplæring, programvare verktøysett og andre tjenester også.
Frilansere som oss er ikke målet, men vi bør arbeide for å følge så godt vi kan. I særdeleshet, ikke hold alle personlige data du ikke trenger, og lagre og bruke den godt. Faktisk, bør du gjøre slike ting selv om GDPR ikke eksisterer.
Har du et spørsmål? E-post til Ask.Jack@theguardian.com