Läs också: France Travail: 43 miljoner drabbade eftersom anställda hade för mycket åtkomst
När CNIL utredde France Travails överträdelse upptäckte de något som många företag känner igen utan att veta om det — behörigheterna var definert for bredt. CAP EMPLOI-rådgivere, som fungerte som samarbeidspartnere i oppfølgingen av arbeidssøkere, hadde systemtilgang til alle brukeres data. Ikke bare de de aktivt fulgte opp — alle. Det er ikke en bevisst beslutning. Det er slik systemet ble konfigurert, og ingen hadde gått tilbake og sjekket.
GDPR artikel 5 kräver att personuppgifter behandlas av ett begränsat antal personer – endast de som har ett legitimt behov. Det är en konkret skyldighet, och den gäller internt: vem i din verksamhet har tillgång till vad?
Praktisk poäng: Ta en runda genom åtkomsträttigheterna i de tre systemen där ni hanterar mest känslig information. Vem har åtkomst, till vad, och varför? Har någon åtkomst de inte längre behöver – för att de bytte roll, slutade, eller för att det bara «alltid har varit så»?
Inspirerad av: CNIL