Hvordan påvirker GDPR din tilgang på informasjon fra adgangskontrollen?

Fra 25. mai 2018 var EUs forordning for personvern, GDPR (The General Data Protection Regulation), en del av norsk lovgiving. Med innføringen av GDPR ble det en strengere regulering av måten man lagrer og forvalter personopplysninger på. Endringene kan virke store, men i praksis handler dette om å ha gode rutiner for informasjon til brukerne om hva de samtykker til og hvordan du oppbevarer brukernes data.  

I Norge kan vi kun registrere gyldig passering ved hjelp av kort og pin-kode. Det vil si at det er den enkeltes bevegelser i soner hvor man krever denne kombinasjonen, som blir registrert og lagret.  

Vi har også mulighet til å registrere ugyldig passering, altså tilfeller der noen har forsøkt å komme seg inn på et område eller inn i et lokale de ikke er autorisert for. Dette kan være et serverrom hvor det kreves både kort og kode for å komme inn. Hvis noen drar kortet sitt i døra og tror de skal komme inn, vil dette registreres og bli tilgjengelig informasjon for IT-ansvarlig. Slik kan systemet varsle om at noen uten tilgang har prøvd å komme seg inn på serverrommet.   

90 dager

Loggdata fra adgangssystemet kan lagres i 90 dager, deretter skal den slettes automatisk. Dersom en bedrift har tungtveiende argumenter for å oppbevare informasjon lenger enn dette, finnes det en mulighet for å søke om dispensasjon.

GDPR stadfester brukerens rettighet til å si fra om at man ikke ønsker at loggdata skal oppbevares eller videreføres i backuper og lignende utover disse 90 dagene. Det er viktig å understreke at en bruker ikke kan kreve at vedkommendes bevegelser i bygget ikke blir registrert overhodet.

Grunnen til at man i utgangspunktet har et adgangssystem er jo blant annet for å ivareta de ansattes sikkerhet. For å kunne ha oversikt og kontroll nok til å utføre denne oppgaven, må loggdata være tilgjengelig.

Med GDPR får man føringer og retningslinjer for måten man oppbevarer dataene på, og som bedrift har man ansvar for at disse opplysningene ikke blir overført til andre personer eller bedrifter. Dersom du er usikker på hvordan GDPR vil fungere i praksis for din bedrift, har Datatilsynet laget flere veiledninger som gir deg svar på dette.

Hvorfor logge data?

Hovedgrunnen til at man ønsker å se på enkeltpersoners bevegelser i bygget er i tilfeller hvor det er mistanke om noe kriminelt. 

Se for deg følgende:

Mandag morgen oppdager du at det har forvunnet flere datamaskiner og noen dyre komponenter fra datarommet. Det er ikke tegn til innbrudd, men i adgangssystemet kan du se at det var noen der inne på lørdag formiddag. 

I et slikt tilfelle vil det være hensiktsmessig å sjekke hvem som har benyttet adgangskort og personlig kode til denne døren de siste dagene.

Rent praktisk har du da to valg:

  • Følge interne rutiner for slike tilfeller og konfrontere vedkommende som har sitt adgangskort og personlige kode registrert brukt på den aktuelle kortleseren.
  • Du kan kontakte politiet.

Dette er enda et argument for å bruke kombinasjonen kort og kode i de sonene av bygget hvor det kan være interessant for uvedkommende å ta seg inn.

Jo, den enkeltes bevegelser logges, men hadde du i dette tilfellet latt ansatte komme inn på datarommet bare ved å skanne adgangskortet sitt, kunne hvem som helst gått inn dit. I verste fall kunne feil person blitt stilt til ansvar for de stjålne verdiene. 

Her kan du sjekke om du har kontroll på de nye personvernreglene for det elektroniske adgangssystemet.

Tryggere for alle

For å oppsummere: Informasjonen om gyldig passering, hvor man beveger seg ved hjelp av kort og kode, skal være tilgjengelig i inntil 90 dager. Det som forandrer seg med GDPR, er hvordan dataene registreres, oppbevares og lagres. Og det er for å beskytte oss alle slik at informasjonen vår ikke havner i gale hender. Følger du Datatilsynets retningslinjer, trenger dette verken bli tid- eller ressurskrevende. 

Gratis e-guide: Det du trenger å vite om lås- og adgangssystem Last ned nå