Persondatasikkerhed handler om mere end blot firewalls, 2-faktorlogin, kryptering, som er tekniske sikkerhedsforanstaltninger. Organisatoriske sikkerhedsforanstaltninger kan gøre en stor forskel i særligt mindre virksomheder, da disse ofte er mere intuitive og lettere at implementere, da disse ikke kræver de samme IT-kompetencer, som tekniske foranstaltninger.
I denne artikel gennemgår vi nogle organisatoriske sikkerhedsforanstaltninger, som du kan indføre i din virksomhed.
IT-sikkerhedspolitik
En IT-sikkerhedspolitik sætter rammen for virksomhedens brug af IT, og har til formål at skabe en klar ansvarsfordeling for virksomhedens IT-sikkerhed. Ansvarsplacering af IT-sikkerhed er essentielt, hvis virksomheden skal efterleve reglerne i praksis.
Herudover, så kan medarbejderne bruge IT-sikkerhedspolitikken, som en retningslinje for brugen af IT i det daglige.
På hjemmesiden sikkerdigital.dk kan du downloade en skabelon, som du kan anvende til at udarbejde din virksomheds IT-sikkerhedspolitik. Husk, at en sikkerhedspolitik blot er endnu et dokument, hvis den ikke følges i praksis. Derfor er det en god idé at rette skabelonen til, så den giver mening i din virksomhed.
Management guruen Peter Drucker citereres ofte for: “What gets measured, gets managed”.
Ved at dokumentere virksomhedens behandling, så vil du nemmere kunne håndtere din informationssikkerhed i praksis…
Fortegnelse over behandlingsaktiviteter og informationsaktiviteter
Dine fortegnelser er et krav i GDPR-reglerne, men samtidig også en vigtig organisatorisk sikkerhedsforanstaltning.
Oversigten med processer og IT-redskaber giver dig et overblik over alle dine processer og systemer, hvor du behandler persondata. Derfor er fortegnelsen en essentiel – og lovpligtig – organisatorisk foranstaltning. Denne oversigt kan du bruge til at implementere tekniske eller organisatoriske foranstaltninger, hvor de gør den størst mulige forskel for virksomheden.
Risikovurdering
En grundig risikovurdering afklarer risiciene i virksomhedens behandling af personoplysninger, hvilket gør dig i stand til at prioritere virksomhedens ressourcer i databeskyttelsesindsatsen.
En indsats kan fx være at gøre dine medarbejdere opmærksomme på risiciene i en behandlingsaktivitet, samt indrette processerne efter øget databeskyttelse, og herefter træne medarbejderne i denne arbejdsproces.
Risikovurderingen bør bruges af virksomhedsledelsen til at træffe valg vedrørende virksomhedens prioritering af ressourcer i hensyn til risiciene for de registrerede.
Processer og procedurer
Når du har kortlagt virksomhedens behandlingsaktiviteter, samt lavet risikovurderingerne af disse, så bør du fastlægge retningslinjer for behandlingen af persondata i de konkrete behandlingsaktiviteter, hvor persondata behandles.
En retningslinje kan indeholde ansvarsfordeling, godkendelsesprocedurer, krav til databehandling, adgangsrettigheder, mv.
Du bør også klarlægge den acceptable brug af virksomhedens IT-systemer med udgangspunkt i din risikovurdering af disse fx:
- Hvem er systemansvarlig?
- Hvad er kravene til medarbejdernes adgangskoder?
- Hvilke medarbejdere bør have adgang til systemet?
- Hvilken adgang bør de enkelte medarbejdere tildeles?
Når du har fastlagt disse processer og procedurer, så bør du træne dine medarbejdere i disse.
Privacy management software
Ved at bruge et GDPR-system til at holde styr på virksomhedens GDPR, så får virksomheden et struktureret setup, som kan være med til at løfte virksomhedens compliance.
Der er mange opgaver at holde styr på, og et GDPR-system er med til strukturere organisationens GDPR-arbejde. Et GDPR-system kan være med til at frigøre energi og tid i virksomheden, da systemet allerede er indrettet efter, at du får styr på dokumentation, samt praktisk efterlevelse af GDPR i din virksomhed. Når GDPR-systemet holder styr på overblikket, så kan du stedet fokusere din energi på at arbejde med “GDPR i praksis” – og ikke bare “GDPR-bag-skrivebordet”.
Krav til leverandører
GDPR-reglerne stiller krav til, at persondatasikkerheden ikke må forringes, hvis en databehandling uddelegeres. Derfor er det et krav, at du stiller krav til dine databehandlere:
- Du skal sikre dig, at dine databehandlere behandler persondata sikkert, inden at du outsourcer persondatabehandlingen.
- Du skal udarbejde en databehandleraftale med leverandøren, som efterlever kravene i artikel 28.
- Til sidst, så skal du sikre dig at databehandleren løbende efterlever databehandleraftalen. Dette gør du ved at udføre et tilsyn.
Træning af medarbejdere og løbende awareness
Al databehandling i din virksomhed forårsages af medarbejdere. Desuden behandler næsten alle dine medarbejdere personoplysninger. Derfor er det vigtigt, at alle medarbejdere der behandler persondata uddannes i behandlingen af persondata.
Dine medarbejdere behandler aktivt personoplysninger via:
- Mails
- Håndtering af fakturaer
- Ansøgninger
- Sociale medier
- Kunder
- Borgere
- Partnere
- Patienter
- Kundestyringssystem
Da alle medarbejdere bør have viden om GDPR, så bør du tilpasse medarbejdernes GDPR-uddannelse til deres behov. Uddannelsesbehovet vil typisk kunne kategoriseres efter nedenstående:
- Kurser til administrative medarbejdere, som har behov for en dybere forståelse af GDPR-reglerne til deres daglige arbejdsopgaver.
- Træning i processer og IT-systemer til medarbejdere med administrative opgaver.
- Elearning til medarbejdere med et mindre behov for GDPR-viden, så de opnår en bevidsthed om reglerne.
- Oplæg til at skabe inspiration og bevidsthed om særlige områder indenfor GDPR.
Løbende identifikation af regler og praksis
GDPR er et nyt forretningsområde, som konstant udvikler sig. Derfor er det vigtigt, at organisationen holder sig opdateret med regler og praksis, således at databehandlingen i IT-systemerne og GDPR-reglerne stemmer overens.
Hvis dette ikke er tilfældet, så efterlever virksomheden ikke længere GDPR-reglerne.
Opsummering
I denne artikel har vi gennemgået nogle organisatoriske sikkerhedsforanstaltninger.
Organisatoriske sikkerhedsforanstaltninger er særligt vigtige at implementere for små- og mellemstore virksomheder, da de ofte er “lettere” at implementere, og i højere grad opfylder lovkravet til at indføre passende sikkerhedsforanstaltninger for mindre virksomheder.
Herudover, så bør din virksomhed også indføre passende tekniske sikkerhedsforanstaltninger.