GDPR er mere end jura
De nye regler for persondata er trådt i kraft. Selvom det kan virke uoverskueligt og kompliceret, har det mange praktiske konsekvenser, som din virksomhed bør overveje – ikke mindst i forhold til sikkerheden i jeres IT-systemer.
Som meget andet i den nye forordning er det ikke helt klart, hvad der kræves i forhold til IT-sikkerhed, men det nævnes, at organisationer skal træffe ”passende tekniske og organisatoriske foranstaltninger” (persondataforordningen Artikel 32) under hensyntagen til de personoplysninger, der behandles.
Helt kort skal alle virksomheder vurdere, om deres sikkerhedsmæssige niveau er passende i forhold til de personoplysninger, som virksomheden indsamler og opbevarer. Under alle omstændigheder er implementeringen af EU’s persondataforordning (GDPR) en god anledning til at få set på din organisations IT-sikkerhed.
Her giver vi dig tips til nogle af de foranstaltninger og teknologier, som din virksomhed kan implementere.
Hvilke personoplysninger opbevarer I rent faktisk?
Først og fremmest skal du naturligvis vide, hvilke personoplysninger din virksomhed indsamler og opbevarer.
Det er egentlig nemt nok for data, som I har liggende i økonomisystemer, CRM-systemer eller HR-systemer, men hvad med de persondata, der er gemt andre steder? Det kunne være fotos fra julefrokosten, listen med kundeemner fra salg, deltagerne på det seneste kundeseminar osv. Der kan ligge persondata rigtig mange steder i jeres organisation, og de er alle omfattet af persondataforordningen. De skal derfor alle behandles med ”passende tekniske og organisatoriske foranstaltninger”.
Kryptering og pseudonymisering af personoplysninger
Både kryptering og pseudonymisering af data er nogle af de teknologier, der specifikt nævnes i den ny forordning. Det må derfor antages, at de bliver et mindstekrav for, hvordan persondata skal behandles.
Kryptering gør informationer ulæselige, med mindre man har den rigtige krypteringsnøgle (kode) til at afkode oplysningerne. I Windows 10 Professional og Enterprise er der indbygget et værktøj, BitLocker, der krypterer data på din harddisk, så de kun kan læses, når den rigtige bruger logger ind. Læs mere om, hvordan du slår kryptering til i Windows her. På Apple-computere findes systemet FileVault, der på samme måde krypterer harddiskens indhold. Læs her, hvordan du slår FileVault til i MacOS.
Kryptering er også vigtigt, når du overfører data – fx sender en mail med persondata. I bør derfor overveje om I har behov for systemer, der kan kryptere mails med følsomme persondata. Disse systemer virker ved, at indholdet af mailen krypteres og dermed sikrer, at mailen kun kan åbnes af den korrekte modtager.
Pseudonymisering betyder at informationer gøres “anonyme” ved, at informationer erstattes med koder, så det ikke umiddelbart er muligt at identificere de personer, som informationerne knytter sig til. Koderne er dog unikke og kan “oversættes” med den rigtige kode.
Beskyttelse mod datatab
Det er helt grundlæggende i den nye forordning, at data skal opbevares fortroligt. Systemer, der beskytter mod tab af data (også kaldet Data Loss Protection (DLP)) kan hjælpe med at opfylde dette krav. Det kan være systemer, der beskytter mod ransomware eller systemer, der blokerer overførsler af data, der indeholder personfølsomme oplysninger.
IT Relation kan hjælpe til med at sikre jer mod datatab. IT Relations sikkerhedsprodukter beskytter mod ransomware-angreb ved at overvåge filer på serveren og stoppe angreb inden det gør rigtig skade.
Overvågning af systemer
Efter persondataforordningen skal brud på persondatasikkerheden anmeldes til myndighederne senest 72 timer efter de er opdaget (persondataforordningen Artikel 33). Indebærer bruddet en risiko for de registreredes rettigheder, skal de personer, hvis data er omfattet af bruddet også kontaktes.
Det er derfor vigtigt, at din organisation sikrer, at jeres systemer overvåges kontinuerligt, så brud på sikkerheden opdages rettidigt. Systemerne bør også være i stand til at vurdere omfanget af bruddet.
Hos IT Relation overvåger vi 24/7 servere for vores kunder – naturligvis både i vores egne datacentre men også hos kunder, der har valgt at have servere på egen adresse. Vi overvåger bl.a. forsøg på login, større ændringer på drev, kundens dataforbrug på nettet m.v., så vi er på forkant med eventuelle brud på sikkerheden.
Beskyttelse af jeres interne netværk
Det bedste er selvfølgelig at forhindre, at der sker brud på persondatasikkerheden i jeres virksomhed. Her er en opdateret og overvåget firewall helt essentiel.
En firewall er et stykke hardware eller software, der sikrer, at det er den rigtige datatrafik, der løber gennem jeres netværk. En firewall sidder som et bindeled mellem det interne netværk og eksterne netværk (oftest internettet) og overvåger trafikken ind og ud af netværket. En firewall skal løbende opdateres og overvåges, så man er sikker på, at det er den rigtige trafik, der løber gennem systemet.
Sikkerhed på de enkelte computere i virksomheden
Hvis din organisation ligner mange andre, har I sikkert mange data – også persondata – liggende lokalt på jeres maskiner og andre devices. Disse er naturligvis også omfattet af persondataforordningen og skal behandles med minimum samme sikkerhed, som de data I har liggende på servere og centrale systemer.
Som nævnt ovenfor bør I slå de indbyggede krypteringsværktøjer i Windows og MacOS til, så de kører på alle jeres maskiner. Det sikrer, at data på den enkelte computer ikke kan læses, medmindre det er den rigtige bruger, der logger ind.
I bør også overveje, hvordan I kan sikre de enkelte maskiner mod databrud. Det kunne fx være helt lavpraktisk ved at have en kodeordspolitik, der sikrer, at der anvendes sikre kodeord i organisationen.
Jeres sikkerhed bør også som standard omfatte 2-faktor godkendelse. Med 2-faktor godkendelse modtager du en besked, når du logger ind på jeres systemer. I beskeden, som oftest kommer som en SMS eller gennem en app på din smartphone, får du en tidsbegrænset kode, som du skal anvende for at få adgang til systemerne. Med 2-faktor godkendelse kan du forhindre en hacker i at få adgang til din konto, og du får automatisk en varsling, hvis nogen forsøger at få adgang til din konto.
Et professionelt anti-virus og anti-malware system er vel helt essentielt i alle organisationer i dag (og behøver forhåbentligt ikke at blive fremhævet).
I kan få et ekstra niveau af sikkerhed ved at anvende et internetfilter i virksomheden. Et internetfilter virker ved at blokere for adgangen til mistænkelige websites – det er ofte websites, der indeholder skadelig kode, der fx kan indeholde ransomware. Listen med mistænkelige websites opdateres løbende, så sikkerheden altid er i top.
Sikkerhed på mobile enheder
I dag benytter jeres medarbejdere sikkert laptops, mobiltelefoner og tabletter, når de skal arbejde. Her kan og vil der sikkert også forekomme persondata.
Med en løsning til Mobile Device Management kan I sikre virksomhedens enheder fra centralt hold. I kan implementere sikkerhedspolitikker for kodeord og hvilke data, der må opbevares på enheden, hvilke applikationer der må køre, og hvordan adgangen til enheden skal være. Bliver en enhed stjålet eller tabt, kan I med en MDM-løsning låse den og slette fortrolige data på den.
Backup og disaster recovery
Hvis du læser artikel 32 i persondataforordningen, vil du se, at den dataansvarlige skal kunne ”genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse”. I kommer derfor ikke udenom at have en god og gennemprøvet backup, så data kan genskabes i tilfælde af nedbrud eller ondsindet software.
I den forbindelse kan I også overveje, om I skal have en disaster recovery løsning. En disaster recovery-løsning er et ”billede” af din organisations IT-systemer. I modsætning til backup kan disaster recovery-billedet udrulles på kort tid (få timer), hvis hele serveren går ned – hvorimod man med en backup skal reinstallere serveren manuelt, inden backup kan indlæses, hvilket kan tage flere dage.
En backup er en sikkerhedskopi af dataene på filplan. Det vil sige, at opstillingen (operativsystem, applikationer og konfigurationer) ikke er med. Fordelen ved backuppen er, at det tager kort tid (potentielt få minutter) at reetablere enkelte filer – hvorimod man med Disaster Recovery er tvunget til at reetablere hele serveren.
Afslutning
Dette er blot nogle af de sikkerhedsforanstaltninger, som I kan og bør overveje i forbindelse med den nye persondataforordning. Nu er forordningen trådt i kraft og den kommende tid vil vise, hvilke sikkerhedskrav der mere præcist stilles til virksomheder og organisationer, der arbejder med persondata.
Hvis du vil vide mere om persondataforordningen og kravene til din IT-sikkerhed, er du velkommen til at kontakte os.
Bliv klogere på hvad en Data Protection Officer (DPO) er og hvordan I sikrer jeres IT-compliance.
