GDPR - EU
Tekniske foranstaltninger, som virksomheden kan træffe for at beskytte personoplysninger
I henhold til GDPR skal virksomheder beskytte personoplysninger, der behandles i virksomheden. Dette kan bl.a. ske ved at gennemføre passende tekniske sikkerhedsforanstaltninger. Nedenfor kan du læse mere om nogle eksempler på tekniske foranstaltninger, som virksomheder kan implementere for at beskytte personoplysninger.
Krav til beskyttelse af personoplysninger
Det er et krav i henhold til GDPR, at virksomheden skal beskytte de personoplysninger, som virksomheden behandler. Jo vigtigere personoplysningerne er, jo højere er det beskyttelsesniveau, der skal gennemføres. Virksomheden skal også træffe passende tekniske foranstaltninger for at overholde andre databeskyttelsesregler og anden relevant lovgivning.
Det bør f.eks. være muligt for den at give sit samtykke til at trække det tilbage på en så enkel måde, som den har givet det. Hvis den registrerede har givet sit samtykke ved at klikke på en knap, skal det være muligt at trække samtykket tilbage på en lige så enkel måde. Det betyder, at virksomheden i dette tilfælde skal gennemføre en sådan teknisk mulighed.
Dette er i dag en funktionalitet, der ofte findes i cookie-plugin’et, hvor den besøgende på webstedet kan vælge at acceptere cookies og derefter fortryde ved at nægte brugen af cookies via de knapvalg, der er tilgængelige i plugin’et.
Her er eksempler på nogle tekniske foranstaltninger, som virksomheden kan træffe for at beskytte personoplysninger i overensstemmelse med GDPR
Bemærk, at der er mange flere tekniske foranstaltninger end dem, der er beskrevet nedenfor, som virksomheder kan eller bør gennemføre, afhængigt af virksomhedens forretning.
Godkendelse
Det kan være nødvendigt for en virksomhed at bevise identiteten af en person, der anmoder om adgang til systemer, der behandler personoplysninger.
Der kan f.eks. kræves autentificering, før en ansat har adgang til visse følsomme oplysninger, der er nødvendige for udførelsen af vedkommendes opgaver. Det er dog ikke alle medarbejdere, der automatisk har adgang til disse oplysninger. I sådanne tilfælde skal virksomheden muligvis først bekræfte medarbejderens identitet gennem autentificering via visse teknologier, før der gives adgang.
Et andet eksempel er, hvis en person skal logge ind i deres bank for at sende penge til nogen. Da login sker eksternt over internettet, skal banken implementere en godkendelsesmetode for at bekræfte identiteten af den person, der forsøger at logge ind på bankkontoen.
Almindelig autentificeringsproces
En almindelig godkendelsesproces er for en person at oprette en brugerkonto og adgangskode, der bruges til at logge ind på et system. Men det er ikke altid nok. Det kan f.eks. være nødvendigt at have en mere sikker autentificeringsproces, f.eks. at skulle logge ind via både adgangskode og fingeraftryk eller en anden form for multifaktorautentificering, f.eks. SMS-kode, der sendes til mobilnummeret.
Sikkerhedskopiering
Ved at sikkerhedskopiere personoplysninger kan virksomheder gendanne personoplysninger, der er blevet slettet eller ændret ulovligt. Derudover kan det hjælpe virksomheder med lettere at komme sig efter f.eks. cyberangreb. Backup kan gøres med forudindstillede intervaller, såsom dagligt eller hver time.
Bemærk, at det er vigtigt at slette sikkerhedskopierne efter en vis periode for ikke at gemme flere personoplysninger end nødvendigt. Hvis en registreret f.eks. anmoder om at få sine personoplysninger slettet, skal det også huskes at slette dem fra eventuelle sikkerhedskopier.
Sikkerhedskopier bør opbevares sikkert, adskilt fra den daglige behandling, og der bør kun gives adgang til backupstyring til nogle få medarbejdere.
Netværkssegmentering
Det kan være nyttigt at opdele datanetværk i forskellige undernetværk, også kendt som netværkssegmentering. Formålet med at segmentere netværk er at begrænse kommunikationen mellem systemer, såsom computere, servere eller lignende, således at kun oplysninger, der er nødvendige strømmer i dette segment. Dette gør det bl.a. lettere at forhindre uautoriseret adgang til personoplysninger.
En fordel ved netværkssegmentering er, at det er muligt at tildele en brugeradgang til kun en segmenteret del, i stedet for at få adgang til hele netværket. Derudover kan netværkssegmentering øge ydelsen af tjenesterne i segmentet ved at reducere risikoen for netværksdenial of service.
Kryptering
Kryptering af personoplysninger er en almindelig teknisk foranstaltning for virksomheder at tage. Det betyder, at en krypteringsnøgle, såsom en kode eller fingeraftryk sammen med en matematisk funktion, gør data læsbare. Hvis nogen kun har adgang til en af dem, er det derfor ikke muligt at læse oplysningerne. Det er især vigtigt at implementere kryptering, når personoplysningerne er særligt beskyttelsesværdige.
E-mail ikke lønsedler med følsomme personoplysninger
Før GDPR trådte i kraft, var det almindeligt for virksomheder at sende lønsedler til medarbejdere via e-mail. Men ofte indeholder lønsedler oplysninger om sygefravær, som er helbredsoplysninger og dermed udgør følsomme personoplysninger i henhold til GDPR. Følsomme personoplysninger skal behandles med større sikkerhed, og det er derfor ikke hensigtsmæssigt at e-maile sådanne lønsedler ukrypteret.
Læs mere om GDPR
Organisatoriske sikkerhedsforanstaltninger
Virksomhederne skal også træffe passende organisatoriske sikkerhedsforanstaltninger. For eksempel at tilbyde uddannelse til medarbejdere i databeskyttelse, implementere autorisationsstyring og etablere forskellige skriftlige procedurer og instruktioner til medarbejdere.