Startsida / Blogg / Receptionist och GDPR-risk

Din receptionist är ditt största GDPR-säkerhetshål — och det är inte hennes fel

IMY varnar: det ökande antalet dataintrång beror på anställda som öppnar nätfiske-e-post. Inte IT-systemen. Inte hackarna ensamma. Människor — utan utbildning, utan erfarenhet, utan kunskap om vad de ska titta efter. Det är inte deras fel. Det är ditt ansvar som klinikägare.

Varför receptionisten är det primära målet

Cyberkriminella vet att receptionisten är personen på kliniken som hanterar flest e-postmeddelanden från okända avsändare, har tillgång till boknings- och journalsystem och vanligtvis har minst IT-erfarenhet av alla anställda. Det beror inte på att hon är oaktsam — det beror på att hon aldrig har visats vad hon ska leta efter.

De 5 tecknen på ett nätfiske-e-postmeddelande

Nätfiske-e-post är utformad för att utnyttja brådska och auktoritet. De ser ut som om de kommer från BankID, Microsoft, journalsystemet eller IMY. Utbilda personalen i dessa 5 tecken:

• Avsändaradressen stämmer inte — "support@bankid-verify.com" istället för bankid.se
• Brådska — "inom 24 timmar", "ditt konto stängs", "omedelbar åtgärd krävs"
• Länken leder någon annanstans — håll muspekaren över länken och kontrollera URL:en innan du klickar
• Inloggningsuppgifter efterfrågas — ingen legitim tjänst ber om ditt lösenord via e-post
• Något känns fel — lär personalen att lita på den känslan och fråga en kollega

Det är klinikens ansvar — inte personalets

GDPR-lagstiftningen är tydlig: det är den personuppgiftsansvarige — du som klinikägare — som är skyldig att se till att anställda utbildas och att utbildningen dokumenteras. Det räcker inte att skicka ett mejl med "kom ihåg GDPR". Du måste kunna bevisa vem som utbildats, vad de utbildats i och när.