Så här hanterar du ostrukturerad data i mail

2018-09-14T11:20:29+00:0030 augusti, 2018|

Ostrukturerad data, en fråga som hela tiden funnits med i diskussionen kring GDPR, men nu börjar komma högre upp i medvetandet då många andra delar inom GDPR har klarnat. Som bekant gäller GDPR för alla typ av personuppgifter oberoende i vilket format de är lagrade på. I Sverige har vi dessutom en extra väg att gå jämfört med våra kollegor i Europa då vi tidigare haft ett tydligt undantag i vår lagstiftning “missbruksregeln” för när uppgifterna varit ostrukturerade.

Det största utmaningen är vanligtvis mailkorgen. Från att tidigare varit begränsad i storlek, har den tekniska utvecklingen möjliggjort i det närmaste oändlig storlek på mailboxen. Detta är något som har utnyttjats på många håll då rädslan över att kasta bort information många gånger överstiger individens rättighet att inte behandlas utan kontroll.

Så hur gör du då om man är fast övertygad om att börja hantera de ofantliga mängder data i som finns i inkorgen? Vi har sammanställt olika möjligheter för dig, dels vad du kan göra som användare och även råd till dig som administratör.

En av de första frågorna man bör ställa sig är om man skall hantera historisk data eller om man skall välja en tidpunkt för att starta hanteringen av ostrukturerad data. Som alltid skall man försöka äta elefanten i små bitar. Väljer man att ta allting på en gång så är det vanligt att effekten uteblir då man fastnar i planeringsfasen.

Gör först en riskanalys. Vilken typ av data finns i era epostmeddelanden. Det är givetvis omöjligt att helt veta vilken information som gömmer sig, men genom att tänka igenom olika scenarios kan man ofta sortera ut ett antal kategorier av information som man först borde hantera.

Stoppa inflödet av känsliga uppgifter. Beroende på typ av verksamhet i organisationen kan olika typer av information komma via mailen. Om verksamheten tar emot patientuppgifter eller andra känsliga uppgifter av misstag då kunder skickar in dem via mail, bör man göra vad man kan för att minimera detta. Har man en infomail kan man lägga med sin policy i autoreplymailet att man inte tar emot känsliga uppgifter via mail. Sen skall man givetvis radera dessa mail och styra användarna mot att använda säkra kanaler istället. Autoreply meddelandet skall givetvis leda kunden tydligt på en väg hur de gör rätt, allt för att minska frustration.

Börja med det känsligaste. Vid en analys inser man ofta vilken data som är mest känslig i de mailkorgar som man ansvarar över. Är det patientdata ska dessa självklart inte hanteras i mailkorgen och in i avsedda system. CVs bör raderas efter en viss tid. Bokningar med allergier har även de en mycket begränsad livslängd. När man väl kommer igång inser man att det inte är svårt.

Arkivera och kryptera gammal epost (om du absolut inte kan slänga den!) Helst av allt bör vi slänga epost som vi inte använder. Men för många av oss är det känslomässigt svårt att slänga gammal mail. Ett sätt att minska på det känslomässiga hindret och som även är bra ur en GDPR synpunkt är att arkivera och kryptera mailarkiven. På så sätt kommer mailen att vara tillgängliga utan större svårigheter att komma åt dem, men risken minskas att uppgifterna hamnar i orätta händer avsevärt. En ytterligare positiv sak med detta är att det märks hur sällan man verkligen går tillbaka till mail som är äldre än, säg, 6 månader.

 

Är du administratör och har möjligheten att styra hur över organisationens mailpolicy finns många bra möjligheter för att komma tillrätta med ostrukturerad data.

Sök igenom mailservern efter mönster på känslig data. I samband med GDPRs införande har många epostleverantörer spetsat sina produkters förmågor att söka igenom innehållet. Det finns många möjligheter för dig som administratör att klassa vilken information som kan vara känslig.

Klassa informationen i nya dokument och skapa mailregler. Om man startar med informationsklassning kan man med enkla medel införa klassning på dokument när de skapas nya. Att starta med informationsklassning i en organisation kan kännas som en stor utmaning. Men om man börjar med nya dokument kommer man långsamt att få in en ny kultur i organisationen. Nyttan och fördelen med att tydligt klassa dokumenten är att regler kan sättas upp i organisationen för att hindra att mailet skickas utanför organisationens gränser, att informationen automatiskt raderas efter viss tid etc.

Sätt gränser på mailboxen. Detta är en hård men effektiv lösning. Kanske inte att rekommendera som första åtgärd. Historiskt sett innan mailkontons kvotor gick upp kan de som var med på denna tid bevittna om att det gallrades i mailkorgarna i mycket större utsträckning än idag.

 

Belöna bra beteende och fira segrar!

Oberoende av vart ni står i ert arbete med ostrukturerad data idag, så kommer det att vara en utmaning som vi kommer att leva med under en längre tid framöver. Lyft fram bra exempel i organisationen och belöna dessa. Lösningen på frågan är mycket kulturellt betingad och det är viktigt att hitta bra lösningar som inte står i vägen för det dagliga arbetet om man skall nå framgång med att minska det ostrukturerade datat i våra organisation

Kommentera gärna era bästa tips! Du behöver inte logga in för att kommentera.

Om författaren:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR. Certifierad CIPM, Verksamhetsarkitekt, ITIL-Expert. Fredrik är en civilingenjör i Teknisk Fysik.
>