Forside / Blogg / Resepsjonist og GDPR-risiko

Resepsjonisten din er ditt største GDPR-sikkerhetshull — og det er ikke hennes feil

Datatilsynet advarer: det økende antallet datainnbrudd skyldes ansatte som åpner phishing-e-poster. Ikke IT-systemene. Ikke hackerne alene. Mennesker — uten opplæring, uten erfaring, uten kunnskap om hva de skal se etter. Det er ikke deres feil. Det er ditt ansvar som klinikkeierne.

Hvorfor resepsjonisten er det primære målet

Nettkriminelle vet at resepsjonisten er personen i klinikken som behandler flest e-poster fra ukjente avsendere, har tilgang til booking- og journalsystemer, og typisk har minst IT-erfaring av alle ansatte. Det er ikke fordi hun er uansvarlig — det er fordi hun aldri har blitt vist hva hun skal se etter.

De 5 tegnene på en phishing-e-post

Phishing-e-poster er designet for å utnytte hastverk og autoritet. De ser ut som om de kommer fra BankID, Microsoft, journalsystemet eller Datatilsynet. Tren personalet på disse 5 tegnene:

• Avsenderadressen stemmer ikke — "support@bankid-verify.com" i stedet for bankid.no
• Hastverk — "innen 24 timer", "kontoen din stenges", "umiddelbar handling kreves"
• Lenken fører et annet sted — hold musen over lenken og sjekk URL-en før du klikker
• Det bes om innloggingsopplysninger — ingen legitim tjeneste ber om passordet ditt via e-post
• Noe føles feil — tren personalet i å stole på den følelsen og spørre en kollega

Det er klinikkens ansvar — ikke personalets

GDPR-lovgivningen er klar: det er den behandlingsansvarlige — deg som klinikkeierne — som har plikt til å sikre at ansatte er opplært og at opplæringen er dokumentert. Det er ikke nok å sende en e-post med "husk GDPR". Du må kunne bevise hvem som er opplært, hva de er opplært i, og når.