ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER
Forretningskontinuitetsplan som organisatorisk sikkerhedsforanstaltning
Det kan være nyttigt at udarbejde en forretningskontinuitetsplan som en organisatorisk sikkerhedsforanstaltning for at sikre, at virksomheden kan fungere selv i tilfælde af en krise, internt eller eksternt.
Fordele ved en forretningskontinuitetsplan som en organisatorisk sikkerhedsforanstaltning
- Mindsker risikoen for langsigtede driftsforstyrrelser, som kan være en stor økonomisk fordel i tilfælde af en fordel.
- Skaber sikkerhed for både virksomhedens ansatte og de registrerede.
- Hjælper virksomheden med at overholde lovkravene.
- Kan afbøde mulige konsekvenser som følge af et cyberangreb, alvorlige forstyrrelser eller enhver anden form for krise.
Hvad er en driftskontinuitetsplan?
En forretningskontinuitetsplan er en plan for, hvordan en virksomhed bør handle i tilfælde af en uventet krise. Formålet er at sikre, at krisen ikke forhindrer virksomheden i at fortsætte sine aktiviteter. Det samme gælder for større kriser. Udarbejdelsen af en forretningskontinuitetsplan er en god organisatorisk sikkerhedsforanstaltning, som virksomhederne kan træffe for at overholde GDPR’s regler og afbøde konsekvenserne i tilfælde af en krise.
Spørgsmål, der skal indgå i en driftskontinuitetsplan
- Hvad skal personalet gøre, hvis IT-systemerne ikke længere er tilgængelige?
- Kan personalet fortsætte med at arbejde, selv om det ikke er muligt at bruge kontoret?
- Hvem er ansvarlig for hvad i tilfælde af en krise?
- Hvad er de vigtigste processer for, at virksomheden kan fortsætte sit arbejde?
- Hvordan informeres personalet og andre relevante eksterne parter om krisen?
- Hvordan vil personalet fortsætte med at behandle personoplysninger korrekt under en igangværende krise?
Hvordan kan en forretningskontinuitetsplan hjælpe virksomhederne med at overholde GDPR?
Forretningskontinuitetspolitik som en organisatorisk sikkerhedsforanstaltning kan hjælpe virksomheder med at opfylde flere centrale forpligtelser i henhold til GDPR samt med at påvise virksomhedens overholdelse af de lovgivningsmæssige rammer i henhold til ansvarlighedsprincippet i artikel 5, stk. 2, i GDPR. GDPR kræver bl.a., at personoplysninger er tilgængelige og kan genoprettes i tilfælde af brud på persondatasikkerheden. Databeskyttelsesforordningens artikel 32 omhandler behandlingssikkerhed og evnen til at sikre løbende integritet, fortrolighed, tilgængelighed og modstandsdygtighed. En forretningskontinuitetsplan bidrager til at sikre, at virksomheden har sikkerhedskopier, der kan genoprettes inden for en rimelig tidsramme.
Desuden bør forretningskontinuitetsplanen identificere kritiske processer og sårbarheder samt forebyggende foranstaltninger for at mindske risikoen for utilsigtet sletning, uautoriseret adgang eller datatab. Den kan således supplere risikoanalyser og konsekvensanalyser vedrørende databeskyttelse (artikel 35 i GDPR). Desuden sikrer en god forretningskontinuitetsplan, at de registreredes rettigheder i henhold til artikel 12-22 i GDPR kan respekteres selv under en krise.
Skridt, som virksomhederne bør tage og dokumentere i en driftskontinuitetsplan
Identificere kritiske processer
For at etablere en effektiv forretningskontinuitetsplan er det vigtigt først at identificere forskellige kritiske processer og behandlingsaktiviteter vedrørende personoplysninger, der er nødvendige for virksomheden. F.eks. kritiske IT-systemer, finansielle systemer, HR-processer, de værktøjer, som virksomheden anvender til kommunikation, betalingsmetoder osv. Virksomheden skal bl.a. identificere de nødvendige systemer, de processer, der skal fungere for at fortsætte driften, de ressourcer, som virksomheden har brug for til at udføre arbejdet, kritiske personoplysninger, der skal behandles osv. Det er også nyttigt ca. at identificere, hvor længe virksomhedens aktiviteter kan være helt eller delvist ude af drift, inden der opstår alvorlige konsekvenser.
Risici
Når selskabet har identificeret de nødvendige processer og behandlinger, bør selskabet analysere risiciene, og hvordan forretningskontinuitetsplanen bør forebygge eller minimere dem.
Tekniske hændelser
F.eks. systemsammenbrud, netværksafbrydelser eller backup-filer, der har svigtet.
Organisatoriske hændelser
Når vigtige personer i virksomheden f.eks. holder op med at arbejde for virksomheden, leverer leverandørerne ikke på kontrakt, usædvanligt stor personalemangel på grund af sygdomsspredning eller lignende.
Cyberangreb
Hvis hackere f.eks. overtræder virksomhedens database, skal du bede om ransomware eller lignende.
Fysiske hændelser
F.eks. i tilfælde af brand, oversvømmelse, strømafbrydelser eller lignende hændelser på kontoret.
Funktioner og ansvarsområder
For at kunne håndtere en krise så effektivt som muligt er det nyttigt at have klare roller og ansvarsområder, der er fastlagt på forhånd og tildelt på forhånd. Hvis dette ikke er tilfældet, indebærer det en høj risiko for at blive kaotisk i tilfælde af en krise. Eksempler på, hvad selskabet bør definere i en forretningskontinuitetsplan:
Leder af krisen.
Ansvarlig for IT.
Hvem skal dokumentere begivenhedernes rækkefølge, de trufne foranstaltninger osv.
Som samarbejder med eksterne parter såsom registrerede og relevante myndigheder.
Den person, der skal kontakte og forvalte kommunikationen med databehandlere, leverandører osv.
Kommunikationsplan
God og klar kommunikation er yderst vigtig i en virksomhed, navnlig under en igangværende krise. Det er derfor nyttigt at have en klar plan for intern kommunikation, hvis det er nødvendigt. Den kan f.eks. regulere, hvordan alle medarbejdere skal informeres om hændelsen, hvordan de registrerede skal underrettes, hvis deres personoplysninger er blevet berørt af hændelsen, om og hvornår virksomheden skal indberette til den nationale databeskyttelsesmyndighed, hvilke alternative kommunikationskanaler virksomheden kan anvende, hvis det normalt ikke er muligt at anvende osv.
Alternative fremgangsmåder
For at kunne fortsætte arbejdet under en igangværende krise har virksomheden brug for alternative arbejdsmetoder. Det er ofte et spørgsmål om at arbejde manuelt eller med nødløsninger. Driftskontinuitetsplanen bør f.eks. indeholde svar på følgende spørgsmål.
Hvordan får de ansatte adgang til de dokumenter, der er nødvendige for, at de kan udføre deres opgaver?
Hvordan foregår opbevaringen af personoplysninger, uden at sikkerheden bringes i fare?
Hvordan håndteres kundesager, hvis virksomhedens IT-systemer svigter?
Hvordan kan virksomheden håndtere fakturering, forvaltning af lønninger, arbejdsordrer og andre økonomisk kritiske dele af en virksomhed?
Tilbageførsel
Jo hurtigere en virksomhed vender tilbage til det normale efter en krise, desto bedre. Det er derfor nyttigt at definere, hvordan dette skal gøres, ofte i en trinvis tilgang. Det er muligt:
Genstart de forskellige systemer.
Overfør manuelt arbejde tilbage til systemerne.
Analysere den forvoldte skade. F.eks. registrerede. Husk at indberette brud på persondatasikkerheden til registrerede og/eller relevante myndigheder, hvis det er nødvendigt.
Desuden er det nyttigt at dokumentere hele processen for at kunne påvise overholdelse af GDPR og for at kunne forbedre den i lyset af en eventuel ny krise.
Test og opdatering
Det er vigtigt at teste en forretningskontinuitetsplan for at vide, om den fungerer eller ej, inden der opstår en reel krise. Virksomhederne bør f.eks. teste simulerede afbrydelser og arbejde inden for rammerne af en forretningskontinuitetsplan og en katastrofeberedskabsplan for at se, om den fungerer i praksis.
FLERE OPLYSNINGER
En katastrofeberedskabsplan supplerer en forretningskontinuitetsplan
Kort sagt fungerer en katastrofeberedskabsplan som den tekniske del af virksomhedens forretningskontinuitetsplan. Det er godt for virksomhederne at udarbejde begge dokumenter. En forretningskontinuitetsplan beskriver, hvordan virksomheden vil handle i tilfælde af en krise, mens en katastrofeberedskabsplan beskriver, hvordan medarbejderne vil genoprette IT-infrastrukturen og behandlingen af personoplysninger i kølvandet på en katastrofe eller krise. En katastrofeberedskabsplan er normalt mere detaljeret end en forretningskontinuitetsplan.