Ifølge rapporten “Nasjonalt digitalt risikobilde”, som utgis årlig av Nasjonal sikkerhetsmyndighet, står vi overfor et taktskifte innenfor digital risiko i Norge. I stadig økende grad forsøker kriminelle aktører å utnytte sårbarheter i funksjoner,
virksomheter og systemer.
Samtidig samler arrangører inn mer personopplysninger enn tidligere, via påmeldingssystemer/-skjemaer, apper, spørreskjemaer, evalueringer, osv. Som følge av dette er det viktigere enn noen gang at arrangements- og deltakerdata behandles og ivaretas på en trygg og god måte.
I dette innlegget skal vi se nærmere på a) hvorfor det er viktig med god datasikkerhet i et påmeldingssystem, og b) hvordan sikkerhetsansvaret fordeles mellom leverandøren av systemet og deg som bruker av det.
Du må sikre deltakerdata som sendes til samarbeidspartnere
Det er mange detaljer rundt et arrangement, ofte mange involverte og mange som trenger oppdatert informasjon løpende for å forberede og legge til rette for best mulig deltakeropplevelse i alle ledd av arrangementet.
Det at det er mange involverte, gjør at mange også kan ha behov for å få informasjon om hver enkelt deltaker. Da er det helt grunnleggende at du som arrangør kun deler relevant data, som deltaker har samtykket til å dele. Verken mer eller mindre. Og dessuten at du ikke deler data med flere enn det strengt tatt er behov for.
Det er ditt ansvar å sørge for at deltakerinformasjon som du sender til leverandører og samarbeidspartnere, ikke kommer på avveie. Personopplysninger som kommer på avveie, kan misbrukes. F.eks. kan aktører med fiendtlige hensikter bruke slik informasjon til svindel og utpressing, eller til å utgi seg for å være din bedrift i svindelforsøk mot andre.
Her er to enkle grep du kan gjøre for å sikre at arrangements- og deltakerdata ikke blir misbrukt:
- Ha utløpsdato på lenker som blir delt
- Passordbeskytt personopplysninger som videresendes som filer
Du må sikre data som sendes inn i dine egne systemer
Bruker din bedrift et påmeldingssystem til å samle inn data og behandle deltakere til arrangementer dere har? Og sender dere deretter informasjonen videre inn i eget system?
I så fall er det avgjørende at dere også kan gjøre dette på en trygg måte, og ikke minst at dere kan være sikker på at dataene som sendes videre, er riktige.
Igjen: Deltakere må kunne være helt trygg på at personopplysninger de oppgir til deg som arrangør, er trygge og ikke kan misbrukes videre.
Det er leverandøren av påmeldingssystemet som har ansvaret for å legge til rette for at du som bruker kan samle inn og bruke deltakeres data på en forsvarlig og lovlig måte. De legger til rette for at du kan samle inn og bruke deltakerdata videre – men det er ditt ansvar at du faktisk gjør det sikkert og trygt, og i henhold til de samtykker som er gitt.
Les også: Slik sikrer Provisos påmeldingssystem dine data
Et godt påmeldingssystem krypterer persondata
Selv om leverandøren av et IT-system tar alle mulige forholdsregler for å stå imot potensielle dataangrep, er det ikke mulig å sikre seg 100 % mot fremtidig inntrengning eller lekkasje.
Derfor sørger et profesjonelt påmeldingssystem for at alle personopplysninger som blir behandlet og lagret i systemet, er kryptert. Det betyr at data som eventuelt kommer på avveie, ikke kan bli misbrukt – fordi informasjonen vil være uleselig og dermed helt ubrukelig.
Sikring av arrangements- og deltakerdata krever en felles innsats
Med det utfordrende risikobildet vi står i, kan alle virksomheter bli angrepet, det er mange ulike aktører og hensikter bak et dataangrep, og konsekvensene blir mer alvorlige. Dermed er det enda viktigere enn tidligere at påmeldingssystemet bedriften din bruker, ivaretar datasikkerhet og personvern i alle ledd.
Leverandørens ansvar: Et godt påmeldingssystem skal legge til rette for at du som bruker kan samle inn og bruke dine deltakeres data på en lovlig måte. Systemet må sørge for sikker datalagring og gode rutiner dersom data skulle komme på avveie.
Ditt ansvar: Som bruker av et påmeldingssystem er du ansvarlig for at dataene benyttes slik deltaker har gitt samtykke til, også hvis de blir delt videre med andre eller i egne systemer. Dessuten må du slette data og/eller fjerne samtykke dersom en deltaker ønsker det.
