Alle artikler

Tekniske sikkerhedsforanstaltninger

I denne artikel kan du læse mere om nogle af de tekniske foranstaltninger, som en virksomhed kan implementere for at efterleve kravet om at indføre “passsende tekniske og organisatoriske sikkerhedsforanstaltninger”. 

Denne artikel indeholder ikke en udtømmende liste, så har du en god idé, der løser udfordringen, så er denne også velkommen.

Indhold

Opdatering af software

Vidste du, at mange hackerangreb kan undgås, hvis du blot sørger for at holde dine systemer opdaterede? 

Når en sikkerhedsbrist i software opdages, så vil softwareudbyderen hurtigst muligt lave en ny version af dette software, som lukker sikkerhedshullet. 

I nogle tilfælde, så vil nyheden om en opdatering af software også gøre hackere opmærksom på, at der kan være en sikkerhedsbrist i denne software, og det giver dem en mulighed for at udnytte denne brist hos alle de brugere, som endnu ikke har opdateret software.

Ved at holde dine systemer opdaterede, så kan du undgå disse sikkerhedsbrister.

Firewall

En firewall forhindrer uønsket trafik i at tilgå dit netværk. En firewall svarer til at have en mur omkring sit hus, men med en port, som man kun åbner for indbudte gæster. Alle bør have en firewall til sit netværk for at beskytte mod uhindret trafik til sit netværk.

Antivirus

Antivirus bruges med henblik på at hindre skadelige filer, som allerede er på din enhed. Et antivirus program installeres på din enhed og analyserer herefter trafik og filer på enheden. Antivirus kan forhindre skaden i at ske, hvis den er under opsejling.

Kryptering

Kryptering gør dine data ulæselige for alle, der ikke har koden til at omdanne den ulæselige tekst til en læsbar tekst. 

Ved at bruge kryptering, så beskytter du dine persondata mod uvedkommende i de tilfælde, at de kompromitteres. Det anbefales at bruge kryptering når det er muligt. 

Du kan læse mere om kryptering her.

Mobile device management

Dine medarbejdere har bærbare computere, tablets og smartphones. Virksomhedens persondata kan være tilgængelige på samtlige af disse enheder, hvilket udgør en risiko, hvis de enheden misbruges eller mistes. 


Med mobile device management software, så kan virksomheden administrere alle sine enheder centralt. Administratoren kan fx begrænse adgangsrettigheder eller slette alt indhold på en bortkommet bærbar computer, hvormed at persondata ikke kompromitteres.

Backup

Med backup af dine data, så sikres du mod bortkommelse af persondata, hvilket kan udgøre et sikkerhedsbrud. ¨Tab af persondata kan have betydelige konsekvenser for den service, som en kunde betaler for. Derfor er det god praksis at tage backup, således at behandlingen af kundens data (og virksomhedens service) stadig kan gennemføres uden yderligere skade. 

Logning

Med backup af dine data, så sikres du mod bortkommelse af persondata, hvilket kan udgøre et sikkerhedsbrud.

Tab af persondata kan have betydelige konsekvenser for den service, som en kunde betaler for. Derfor er det god praksis at tage backup, således at behandlingen af kundens data (og virksomhedens service) stadig kan gennemføres uden yderligere skade. 

Stærke adgangskoder

Adgangskoder kan brydes, hvis de er simple eller følger et genkendeligt mønster. Derfor kan et krav om stærke adgangskoder i virksomhedens systemer udgøre en vigtig sikkerhedsforanstaltning. 

Adgangsrettigheder

Vær selektiv i forhold til hvilke systemer, som dine medarbejdere skal have adgangsrettigheder til. GDPR-reglen om “privacy by default” indebærer, at du som udgangspunkt kun bør give adgang til det nødvendige. 

Herudover, så bør du også være selektiv i forhold til medarbejdernes rettigheder til hvert enkelt system. Det ses ofte, at medarbejdere får fuld adgang til et system, da dette er nemmest i det dalige arbejde, men dette er ikke i overensstemmelse med GDPR.  

Du kan holde styr på samtlige rettigheder via et system som Active Directory eller lignende.

I den simpleste udgave kan du lave en oversigt med adgangsrettigheder til hvert enkelt system i et excelark, og styre medarbejdernes adgange manuelt. Dette kræver dog en ekstraordinær orden i virksomheden for at lykkes i praksis, men kan være nødvendigt i en mindre virksomhed.

Data discovery

Ved brug af fx Google Workspace eller Microsoft Office, så har du mulighed for at scanne virksomhedens brug af personoplysninger på mails, mapper, fildrev, etc., samt opsætte regler for brugen af disse.

Eksempelvis, så kan du forhindre, at der sendes mail ud af organisationen, hvis disse mails indeholder fx personnumre, pasnumre, kreditkortnummer, etc.  

Dette redskab er derfor med til at give kontrol over alle de persondata, som langsomt knubskyder rundt omkring i mapper, filer og mailindbakkerne. Systemet kan anvendes til opsætning af generelle regler for organisationen eller af den enkelte medarbejder, som har mistet overblikket.

Facility management

Antivirus og firewalls hjælper ikke, hvis uvedkommende kan tilgå virksomhedens hardware. Hardware kan findes på virksomhedens lokationer, samt i den enkelte medarbejders hjem, hvis de tager arbejdsredskaberne med hjem. 

Fysisk sikkerhed indebærer alt fra adgangsstyring til lokaler, alarmsystemer, brandsikkerhed, tyverisikring, videoovervågning, mv. 

Mange af de brud på persondatasikkerheden, som anmeldes til Datatilsynet er sket med udgangspunkt i mistet hardware pga. Tyveri.

Derfor bør du også sikre, at din hardware ikke kan tilgås af uvedkommende.

Opsummering

Denne artikel indeholder blot et udsnit af tekniske foranstaltninger. Vi anbefaler, at du med udgangspunkt i din risikovurdering identificerer, hvilke tekniske foranstaltninger, som din virksomhed bør implementere. 

Hvis virksomheden ikke har IT-kompetencer inhouse, så bør I kontakte en ekstern konsulent. Det er ofte pengene værd. 

GDPR - så alle kan være med

Kurser med GDPR.DK

Aarhus

GDPR kursus d. 6. oktober.

Et praktisk kursus, som ruster dig til at arbejde med GDPR i din arbejdsdag.

Et kursus, hvor vi starter fra begyndelsen.

1-dags kursus i Aarhus målrettet ikke-eksperter.
Se kursus

København

GDPR kursus d. 24. oktober.

Et praktisk kursus, som ruster dig til at arbejde med GDPR i din arbejdsdag.

Et kursus, hvor vi starter fra begyndelsen.

1-dags kursus i København målrettet ikke-eksperter.
Se kursus