Indtast din registrerede e-mail:
Indtast ny adgangskode:

KRAV TIL IT-SIKKERHED​

KRAV TIL IT-SIKKERHED

Forordningen stiller forskellige krav til it-sikkerheden, alt efter hvor følsomme personoplysninger, din organisation behandler. Når der behandles følsomme personoplysninger, skal it-sikkerheden generelt være højere, end hvis der behandles almindelige personoplysninger. Almindelige personoplysninger dækker dog over en bred kategori af oplysninger, fra banale til mere følsomme. Jo mere følsom en oplysning er, jo bedre skal sikkerheden være. Dette gælder særligt for CPR-numre, der kan let kan misbruges og ”låse op” for andre oplysninger om personen, selvom CPR-nummeret i sig selv kun er en almindelig personoplysning.


Forordningen stiller ikke specifikke krav til it-sikkerheden, men kun generelle, da specifikke krav hurtigt ville blive forældede i takt med den teknologiske udvikling. 

KRAV OM RISIKOVURDERING

Forordningen stiller krav om, at man foretager en generel risikovurdering af sin virksomhed.
Dette gælder alle typer af behandlinger, både af almindelige og følsomme personoplysninger. Forordningen tillader, at man tager hensyn til implementeringsomkostningerne, hvilket kan betyde, at mindre virksomheder ikke behøver at fastlægge alle tænkelige behandlinger. Jo flere resurser, din virksomhed har, jo større grund er der til at udarbejde flere og mere detaljerede risikovurderinger. Man kan dele vurderingen op i mindre ”bidder”, der siger noget om behandlingens formål, karakter, sammenhæng og omfang:

  • Hvilken type oplysning (almindelig eller følsom, og en nærmere definition af oplysningen)
  • Mængden af oplysninger (jo større mængder oplysninger, jo større risiko for misbrug)
  • Antallet af registrerede (jo flere registrerede, jo større risiko for misbrug)
  • Konsekvensen for den registrerede ved misbrug (fx er der store konsekvenser ved læk af CPR-nummer)
  • Formålet med behandlingen
  • Sammenhængen (er personoplysningerne i et register over kunder, risikerer den registrerede ikke kun, at der sker læk af de registrerede oplysninger, men også læk af den oplysning, at vedkommende er kunde det pågældende sted)
  • Sandsynligheden for misbrug
  • Mulige tiltag til at minimere risikoen (fx kryptering, pseudonymisering eller adgangskontrol)

Forhold, der kan forhøje risikoen er især brug af ny teknologi, videregivelse af følsomme oplysninger, behandling af følsomme oplysninger i et stort omfang og systematisk overvågning. 

KONSEKVENSANALYSE

Hvis den generelle risikovurdering viser en høj risiko ved en bestemt type behandling, skal man foretage en konsekvensanalyse, også kaldet ”data protection impact assessment”. Det vil sjældent være relevant at foretage en konsekvensanalyse, men det er altså et ufravigeligt krav i de få situationer, hvor det er påkrævet.
Konsekvensanalysen er en udvidelse af den generelle risikovurdering, hvor man vurderer de mest risikable behandlinger mere dybdegående. Udover momenterne fra den generelle risikovurdering, skal konsekvensanalysen også indeholde:

  • Hvilke (legitime) interesser, der forfølges med behandlingen, hvis behandlingsgrundlaget er en interesseafvejning.
  • Er behandlingen nødvendig, og står den i rimeligt forhold formålet?

Hvis konsekvensanalysen viser, at der er en høj risiko med behandlingen, skal man høre Datatilsynet. I forbindelse med høringen, kan Datatilsynet bede om at visse forhold skal ændres eller helt forbyde behandlingen. 

HVAD SKAL MAN GØRE, HVIS DER SKER ET SIKKERHEDSBRUD?

Når der konstateres et sikkerhedsbrud, er der visse pligter, man skal iagttage. Det er vigtigt, at din virksomhed har en plan i tilfælde af sikkerhedsbrud, så der kan handles hurtigst muligt. Ved et sikkerhedsbrud, skal din virksomhed stoppe eller formindske sikkerhedsbruddet og i visse tilfælde underrette den registrerede og Datatilsynet.


STOPPE SIKKERHEDSBRUDET OG MINDSKE SKADERNE

Når der konstateres et sikkerhedsbrud, skal man naturligvis stoppe det. Desuden skal man forsøge at formindske skaderne mest muligt. Dette kan kræve hjælp fra en it-sagkyndig.
​​

UNDERRETTE DE REGISTREREDE OG/ELLER DATATILSYNET
Når der konstateres et sikkerhedsbrud, skal man underrette Datatilsynet inden for 72 timer, medmindre det er usandsynligt, at det vil have nogen risiko for den registrerede.
Er der en høj risiko for misbrug, skal man også underrette den registrerede. Dette behøver man dog ikke alligevel, hvis man har foretaget fornødne sikkerhedsforanstaltninger, fx krypteret oplysningerne. Man behøver ligeledes ikke at underrette de registrerede, hvis det kræver en uforholdsmæssig indsats, fx hvis der er mange registrerede. Her skal man dog i stedet udstede en offentlig meddelelse.
Underretningen skal mindst indeholde:

  • Karakteren af bruddet (kategorierne og antallet af registrerede og oplysninger; fx ulovlig videregivelse af følsomme oplysninger om ca. 40 ansattes fagforeningsmæssige tilhørsforhold). Dette punkt udelades delvist ved underretning af registrerede, da de ikke har krav på at vide det fulde omfang af bruddet
  • Navn og kontaktoplysninger på DPO (hvis man har en)
  • De sandsynlige konsekvenser af sikkerhedsbruddet
  • Beskrive de foretagne sikkerhedsforanstaltninger

PÅ HVILKE MÅDER KAN MAN IMPLEMENTERE IT-SIKKERHED I EN ORGANISATION?

For at implementere den fornødne it-sikkerhed skal man implementere fysiske, tekniske og organisatoriske foranstaltninger. Ligesom ved foretagelsen af risikovurdering, kan man tage hensyn til virksomhedens størrelse. Generelt behøver mindre virksomheder ikke at foretage lige så omfattende sikkerhedsforanstaltninger som store virksomheder. Sikkerheden skal dog stadig være ”tilstrækkelig”. Man skal gøre sig særligt umage, når man har at gøre med følsomme oplysninger eller andre fortrolige oplysninger som CPR-numre. 


FYSISKE FORANSTALTNINGER

Lokaler med computere og servere kan være aflåst, når der ikke er nogen derinde til at holde lokalet under opsyn. Det er også en god ide at have en alarm. Har man fortrolige oplysninger i papirform, kan man låse dem inde i et arkivskab.

ORGANISATORISKE FORANSTALTNINGER

Den vigtigste organisatoriske foranstaltning må være at træne personalet i forordningens regler, i det omfang det er nødvendigt for dem i deres hverdag.
Dernæst vil det være ønskeligt, hvis organisationen tilegner sig et internt regelsæt, der nærmere skal fastsætte rammerne for sikkerheden. De ansatte skal instrueres i dette regelsæt. Regelsættet kan eksempelvis indeholde regler om:

  • Hvem der på arbejdspladsen må få adgang til hvilke personoplysninger (således at ansatte, der ikke har brug for oplysningerne, ikke snager)
  • Logning af, hvem der har haft adgang til hvilke oplysninger
  • Etablering af et tilsyn (fx ved at have en DPO).
  • Regler for sletning af oplysninger, der ikke længere er nødvendige eller ikke længere er lovlige at beholde
  • Udpegning af en it-ansvarlig
  • Fremgangsmåden ved it-sikkerhedsbrud.

Det kan anbefales at implementere en anerkendt sikkerhedsstandard helt eller delvist (eller i det mindste blive inspireret af dem), fx den internationale ISO 27001-standard, der indeholder regler om ovenstående. For de helt små virksomheder vil dette dog være en ret stor mundfuld og måske lidt ”overkill”, hvis man ikke har følsomme oplysninger i særlig stort omfang.

TEKNISKE FORANSTALTNINGER

For at have den fornødne sikkerhed, skal der også være visse it-tekniske foranstaltninger. Organisationen skal sørge for, at dens software altid er opdateret, der er adgang til et antivirus-program, samt at der er opstillet en firewall. Har man vigtige oplysninger, skal der med jævne mellemrum laves backup-filer.

Oplysninger, særligt følsomme oplysning, skal i videst muligt omfang krypteres eller pseudonymiseres. Kryptering går kort ud på, at informationen ”låses” og kun kan blive låst op igen af et kodeord. Man kan kryptere en e-mail ved at anvende ”sikker mail”. Pseudonymisering går ud på at holde to personoplysninger adskilt fra hinanden, fx holde navne adskilt fra helbredsoplysninger, således hvis navnene bliver kendt af en hacker, kan han ikke finde ud af, hvilke personer, der lider af hvilke sygdomme. 

Leoni Advokaters samarbejdspartnere

For at klæde dig godt på til de nye regler, har vi hos Leoni Advokater indledt et samarbejde med konsulentvirksomheden eNavigate, konsulentvirksomheden AKON og it-virksomheden netIP.

​​På eNavigates hjemmeside vil vi i en række blogindlæg besvare spørgsmål i den nye persondataforordning, der vedrører digital markedsføring og eCommerce. På bloggen har du også mulighed for at stille os spørgsmål om persondata helt kvit og frit. Find bloggen her.

​Implementering af forordningen stiller krav til din virksomheds it. Derfor har vi allieret os med it-virksomheden netIP, der giver gode råd til, hvordan din virksomhed kan indrette sig it-teknisk.​

netIP anbefaler - IT Sikkerhed – ikke en styk-vare!

Ligesom en virksomhed kan have en port & hegn, areal-overvågning, adgangskort, aflåste skuffer og måske endda et pengeskab, så bør enhver virksomhed overveje om ikke også IT sikkerheden bør afspejle, at forskellig data karakteristika kræver hvert deres sikkerhedsniveau.

Marketingafdelingens oplæg til kampagner er muligvis fine at have liggende på en samarbejdspartners fildelingsplatform, generelle interne guidelines er muligvis fine at have liggende på fællesdrev, ligesom HR kan korrespondere med rekrutteringsbureauer om opslag per mail. Hvad med tilbud? Eller forhandlingskorrespondance og lignende? Disse bør ikke nødvendigvis florere så frit, vel? Behandling af forretningskritiske dokumenter eller personhenførbare, hvis da ikke decideret personfølsomme oplysninger bør ligeledes sikres med foranstaltninger, der passer til den risiko, deres eventuelle tab/forvanskning/tyveri vil udgøre både for jeres virksomhed og for den eller de registrerede.

I jeres forberedelser op mod maj og forordningens ikrafttrædelse, kan I med fordel overveje en differentiering af IT sikkerheden, og ikke blot sigte efter højeste eller laveste fællesnævner.

Persondatabeskyttelse kræver, at en virksomheds ansatte skal ændre deres vaner, og at kulturen i virksomheden udvikles. Det er ikke altid en let opgave at sætte skub i sådan en udvikling. Vi har derfor inviteret konsulentvirksomheden AKON til at give deres bud på, hvordan man bedst takler denne problemstilling.

AKON er en konsulentvirksomhed, der beskæftiger sig med rådgivning om psykisk arbejdsmiljø, ledelse & organisation og forretningsudvikling.

AKON anbefaler - Digitale skyggesider

Det er imponerende, hvad IT-teknologi har givet os på ganske kort tid. Et eksempel kunne være de store kartotekskabe, der stod på alle kontorer for ganske få år siden. Skulle man tilbage i en sag kunne det let blive en større ”udgravning”. I dag har de fleste af os det hele i skyen. En sky, som vi for øvrigt kan tilgå alle døgnets timer. Og der er ikke noget der ser ud til at udviklingen stopper.

Noget nyt er måske, at der tilsyneladende er en skyggeside ved teknologien, som vi nu må erkende, at vi skal forholde os til. Vi har ikke alle lige let ved at kapere de konstante forandringer. Nogle af os har vanskeligt ved at lade arbejdet ligge, når vi har fri. Mails bliver tjekket døgnet rundt. Der er noget, der tyder på, at teknologien bidrager til den stress-epidemi, tal fra Danmarks statistik vidner om. Det er en katastrofe på individniveau og for den virksomhed, der må undvære dygtige ansatte pga sygemeldinger.

Vi er nødt til at forholde os til skyggesiden også i denne forbindelse med persondataforordningen. Et sted at starte kunne være i MED-udvalget med drøftelser om forventninger i forhold til det nye. Hvordan balancer vi behovet for at køre driften og behovet for tid til at få nye arbejdsgange til at fungere. Det kunne også være der, man starter snakken om betydningen af restitution – at medarbejderne faktisk holder fri når de er hjemme. Persondataforordningen kunne være en anledning til at virksomheden tager hul på det nye arbejdsmiljøproblem de digitale skyggesider, og finder nye veje til glæde for individet og virksomheden.

Ønsker du at vide mere?

Implementering af regler og paragraffer er aldrig i virksomhedens fokus – og sådan skal det også være. Der er ingen, der bliver erhvervsdrivende for at sidde og nusse med regnskaber, fakturaer, persondatabeskyttelse og andre administrative opgaver. Som virksomhedsleder skal du have fokus på det, du brænder for.

Vi er her for at løfte arbejdsbyrden for dig, så du har frie hænder til at lave det, der betyder noget for dig. 

Leoni Advokater har fokus på persondataforordningen, hvis du ønsker at vide mere omkring dette, er du velkommen til at kontakte Bent Bro Miltersen som er Leoni Advokaters ekspert på området.

Nærværende materiale er udarbejdet til undervisningsbrug og kan ikke anvendes i forbindelse med løsning af konkrete problemstillinger. Såfremt du ønsker konkret rådgivning inden for persondataret, opfordres man til at henvende sig til Leoni Advokater med spørgsmål og problemstillinger.

VED SPØRGSMÅL ER DU MEGET VELKOMMEN TIL AT KONTAKTE VORES persondataretsADVOKAT

Leoni Advokater

Sct. Mathias Gade 96B

8800 Viborg

Nørregade 27,1.

7500 Holstebro​​

​Fredrikstadvej 1 

9200 Aalborg SV

  Telefon: 8662 0600

  Fax: 9749 1010

  Mail: post@leoniadvokater.dk

Åbningstider

​Mandag-torsdag: 8-16

Fredag: 8-15

Klientkonto

Jyske Bank 7831-0001181453

Vestjysk Bank 7605-0001392959

​Sparekassen Danmark 9070-1632644651