En av nyheterna i GDPR är att individer kan begära ut all (eller stora delar) av den information du har behandlat och lagrat om individen. Detta direktiv har flera syften, både för att tillåta individen att granska att uppgifterna behandlas i enlighet med den policy som finns, och att tillåta s.k. portering av data (att man flyttar den till en annan leverantör t.ex.). Vid sidan av att det kan vara en utmaning att samla in samtliga uppgifter som man har behandlat om en individ så är en risk med denna typ av förfrågningar att man oavsiktligt kan underlätta för identitetsstöld. Tänk dig att en person utger sig för att vara du, och sedan kontaktar ett företag för att därefter få ut alla uppgifter som de har lagrade om dig! För att komma tillrätta med detta är det viktigt att säkert identifiera den som frågar. Lagtexten tillåter inte att man gör det onödigt krångligt för individen, så det är viktigt att det görs på ett enkelt sätt för den som frågar. Beroende på om du är ett B2B- eller B2C-företag, och om du har kunder eller prospects i Sverige eller utanför, så finns det två huvudsakliga metoder:
  • Identifiering med personnummer och mobilt BankID: Detta är den säkraste metoden, och kan tillförlitligt fastställa identiteten hos den som frågar. För de fall där mobilt BankID är opraktiskt (t.ex. för brev) finns möjligheten att skicka utdrag till folkbokföringsadressen, även om detta inte ger fullt lika hög säkerhet.
  • Identifiering med epostadress: För de fall där du inte lagrar personnummer eller där den som frågar inte kan förväntas ha ett svenskt personnummer kan epostadress också vara en fungerande identifieringsfunktion. I detta fall är det viktigt att man validerar att personen som frågar verkligen är ägare av epostadressen (t.ex. med ett automatiserat utskick).
Om du har en befintlig självserviceportal kan den också fungera för identifiering, men tänk då på hur du identifierar användare för inloggning i den. Om det t.ex. endast är ett enkelt användarnamn och lösenord, och som möjligen kan antas delas med flera, är det inte att rekommendera att lämna ut uppgifter via den kanalen. (Däremot kan du givetvis tillåta en fråga!) Om Tiolis lösning för hantering av SAR-förfrågningar: Tiolis lösning innehåller stöd för autentisering via mobilt BankId vid förfrågningar via telefon eller webb, och har också funktionalitet för att automatiskt skicka utdrag till folkbokföringsadressen eller till en digital brevlåda. Vidare finns stöd för identifiering via epost. Kontakta oss för att få reda på mer om hur Tiolis lösningar hjälper dig att säkert identifiera personer för SAR-förfrågningar!