Digital drift gir flere data enn noen gang: bookingapper, taksameter, video og betaling. Uten tydelige rutiner for datasikkerhet og personvern kan små feil bli dyre bøter eller tap av tillit. Denne guiden hjelper deg å identifisere risiko, sikre dataflyt og kommunisere trygt med passasjerene.
Læringsmål
- kartlegge hvilke systemer som behandler kundedata i virksomheten
- etablere tilgangsstyring, logging og backuprutiner som tåler kontroll
- håndtere avvik og informere passasjerer i tråd med regelverket
Kartlegg datastrømmer
Start med å tegne opp hvilke systemer som bruker personopplysninger.
| System | Data som lagres | Risiko | Tiltak |
|---|---|---|---|
| Bestillingsapp | Navn, telefon, hentested, betalingsreferanse | Uautorisert innsyn eller datalekkasje | Oppdater tilgangslister og se digitale bestillingsplattformer |
| Takstameter | Turdata, priser, sjåfør-ID | Manipulasjon eller feilarkiv | Synkroniser med takstameter-rutiner |
| Kamera og lydopptak | Bilder og lyd fra kupé | Brudd på personvern og slettefrister | Eget behandlingsgrunnlag og tidsstyrt sletting |
| CRM/klagesystem | Kundedialog, avvik, refusjoner | Feil tilgang eller manglende kryptering | Rollebasert tilgang og passordpolicy |
Tilgangsstyring i praksis
- Lag en matrise over hvem som trenger tilgang til hvert system og hvorfor.
- Bruk tofaktorautentisering der leverandøren støtter det.
- Gi midlertidig tilgang til vikarer, og deaktiver den samme dag oppdraget avsluttes.
- Loggfør endringer i tillatelser, og gjennomgå listen sammen med kvalitetsstyring og tilbakemeldinger hver måned.
Personvern i kundereisen
| Situasjon | Krav | Handling |
|---|---|---|
| Booking | Informer om data som samles inn | Oppdater personvernerklæringen og lenk til den i app og kvittering |
| Tur og betaling | Sikre taksameter og kvitteringer | Send kvittering via systemet og lagre kopi med begrenset tilgang |
| Klagebehandling | Dokumenter behandlingstiden | Loggfør svarfrister sammen med service og passasjerhåndtering |
| Avvik | Varsle Datatilsynet innen 72 timer ved alvorlige brudd | Ha mal for avviksmelding, kontaktliste til myndigheter og dokumentasjon av tiltak |
Teknisk sikring
- Oppdater programvare på taksameter, nettbrett og rutere minst kvartalsvis.
- Krypter harddisker på laptoper som brukes til rapporter.
- Ta sikkerhetskopi av kritiske data og oppbevar én kopi frakoblet nettet.
- Sørg for at dashbord og skjermer i bilen ikke viser kundedata når passasjeren går inn.
- Dokumenter rutiner for opptak og sletting sammen med kameraovervåking og dokumentasjon .
Scenario: Forsøk på konto-overtakelse
En ukjent aktør forsøker å logge seg inn i sentralens skytjeneste natt til lørdag. Varslingen fra tofaktor hindrer innlogging. Sjåføren i vakt informerer ansvarlig, som umiddelbart bytter passord og logger hendelsen i avvikssystemet. Hele flåten får opplæring i nye passordregler før helgen er over.
Samspill med øvrige rutiner
- Koordiner sikkerhetsplanen med miljøvennlig og økonomisk drosjekjøring for å koble energidata mot personvernkrav.
- Knyt datasikkerhet til kontraktskrav fra kunder og offentlig sektor via driftsformer og kundegrunnlag .
- Sørg for at sjåfører kjenner rutinene gjennom onboarding fra service og passasjerhåndtering .
Hurtigsjekk
- Finnes det en oppdatert oversikt over alle systemer som behandler kundedata?
- Har alle brukere sterke passord og tofaktor der det er mulig?
- Ligger siste sikkerhetskopi på et sikkert sted utenfor driftsmiljøet?
- Er mal for avviksmelding testet det siste halvåret?
Videre fordypning
- Revider risikovurderinger minst årlig og noter tiltak i kvalitetsplanen.
- Ta kontakt med systemleverandørene for å sikre at databehandleravtaler er oppdatert.
- Følg med på ny veiledning fra Datatilsynet og bransjeorganisasjoner.
Kunnskapssjekk
- Hvilke systemer lagrer kundedata, og hvem har tilgang til dem?
- Hvordan varsler du passasjerer og myndigheter ved et dataavvik?
- Hvor lagres sikkerhetskopiene, og hvor ofte tester du gjenoppretting?
Eksempelspørsmål med svar
Spørsmål: Hvorfor bør avviksmalen inneholde kontaktpunkter hos leverandører?
Svar: Fordi du raskere kan stenge eller sikre systemet ved brudd når du vet hvem som kan handle umiddelbart.
Spørsmål: Hvordan kombinerer du personvern med krav til rapportering fra kontraktskunder?
Svar: Del nødvendige data med kundene, men anonymiser eller pseudonymiser rapportene og dokumenter behandlingsgrunnlaget i kontrakten.
Spørsmål: Hva er første tiltak hvis en sjåfør mister en mobil med kundedata?
Svar: Fjernslett enheten via administrasjonsløsningen, oppdater tilgangslistene og vurder om hendelsen er avvik som skal meldes til Datatilsynet.