GDPR - EU
Tekniske tiltak som selskapet kan iverksette for å beskytte personopplysninger
I henhold til GDPR må selskaper beskytte personopplysninger som behandles i løpet av sin virksomhet. Dette kan blant annet gjøres ved å iverksette egnede tekniske sikkerhetstiltak. Nedenfor kan du finne ut mer om noen eksempler på tekniske tiltak selskaper kan iverksette for å beskytte personopplysninger.
Krav til beskyttelse av personopplysninger
GDPR krever at selskaper beskytter personopplysningene de behandler. Jo viktigere personopplysninger er, desto høyere er beskyttelsen som skal implementeres. Selskapet må også implementere hensiktsmessige tekniske tiltak for å overholde andre databeskyttelsesregler og andre relevante lover.
For eksempel må det være mulig for samtykket å trekkes tilbake like enkelt som det har gitt det. Hvis den registrerte har gitt samtykke ved å klikke på en knapp, skal det være mulig å trekke tilbake samtykket på en like enkel måte. Dette betyr at i dette tilfellet må selskapet implementere en slik teknisk mulighet.
I dag finnes denne funksjonaliteten ofte i plugin-modulen for informasjonskapsler, der nettstedets besøkende kan velge å godta informasjonskapsler, og deretter trekke tilbake ved å nekte bruk av informasjonskapsler via knappevalgene som er tilgjengelige i plugin-modulen.
Her er noen av de tekniske tiltakene som selskapet kan iverksette for å beskytte personopplysninger i tråd med GDPR
Vær oppmerksom på at det er mange flere tekniske tiltak enn de som er beskrevet nedenfor, hvilke selskaper som kan eller bør gjennomføre, avhengig av selskapets virksomhet.
Autentisering
Det kan være nødvendig for et selskap å bevise identiteten til en person som ber om tilgang til systemer som behandler personopplysninger.
For eksempel kan autentisering være nødvendig før en medarbeider får tilgang til visse sensitive opplysninger, som er nødvendige for utførelsen av hans eller hennes oppgaver. Derimot har ikke alle ansatte automatisk tilgang til denne informasjonen. I slike tilfeller, gjennom visse teknologier, kan selskapet først må bekrefte identiteten til den ansatte ved autentisering, før du gir tilgang.
Et annet eksempel er hvis en person må logge inn i banken sin for å sende penger til noen. Ettersom påloggingen gjøres eksternt over Internett, må banken implementere en autentiseringsmetode for å bekrefte identiteten til personen som prøver å logge inn på bankkontoen.
Vanlig autentiseringsprosess
En vanlig autentiseringsprosess er opprettelsen av en person med en brukerkonto og et passord som brukes til å logge på et system. Dette er imidlertid ikke alltid tilstrekkelig. For eksempel kan det være nødvendig å ha en sikrere autentiseringsprosess, for eksempel behovet for å logge inn via både passord og fingeravtrykk eller annen form for flerfaktorautentisering, for eksempel SMS-kode sendt til mobiltelefonnummeret.
Sikkerhetskopiering
Ved å sikkerhetskopiere personopplysninger kan bedrifter gjenopprette ulovlig slettede eller endrede personopplysninger. I tillegg kan det hjelpe bedrifter med å komme seg lettere fra for eksempel cyberangrep. Sikkerhetskopiering kan skje med forhåndsinnstilte intervaller, for eksempel daglig eller hver time.
Vær oppmerksom på at det er viktig å slette sikkerhetskopiene etter en viss tidsperiode, for ikke å lagre flere personopplysninger enn nødvendig. For eksempel, hvis en registrert ber om sletting av hans eller hennes personopplysninger, må det også huskes at han eller hun vil slette dem fra sikkerhetskopier.
Sikkerhetskopier bør lagres sikkert, atskilt fra daglig behandling og tilgang til sikkerhetskopiering bør bare gis til noen få ansatte.
Nettverkssegmentering
Det kan være nyttig å dele datanettverk i forskjellige delnettverk, også kjent som nettverkssegmentering. Formålet med nettverkssegmentering er å begrense kommunikasjonen mellom systemer, for eksempel datamaskiner, servere eller lignende, slik at bare viktig informasjon flyter inn i dette segmentet. Dette gjør det blant annet lettere å hindre uautorisert tilgang til personopplysninger.
En fordel med nettverkssegmentering er at det er mulig å gi en bruker tilgang til bare en segmentert del, i stedet for tilgang til hele nettverket. I tillegg kan nettverkssegmentering øke ytelsen til tjenestene som er tilstede i segmentet, ved å redusere risikoen for nettverksbelastning.
Kryptering
Kryptering av personopplysninger er et felles teknisk tiltak for bedrifter å implementere. Dette betyr at en kryptografisk nøkkel, for eksempel en kode eller fingeravtrykk sammen med en matematisk funksjon, gjør dataene lesbare. Hvis det bare er tilgang til en av dem, er det derfor ikke mulig å lese informasjonen. Det er spesielt viktig å implementere kryptering når personopplysninger er spesielt verneverdige.
Ikke send lønnsslipper via e-post med sensitive personopplysninger
Før GDPR ble gjeldende, var det vanlig for bedrifter å sende lønnsslipper til ansatte via e-post. Imidlertid inneholder lønnsslipper ofte informasjon om sykefravær, som er en indikasjon på helse og dermed utgjør sensitive personopplysninger i henhold til GDPR. Sensitive personopplysninger må behandles med større sikkerhet, og det er derfor ikke hensiktsmessig å sende slike betalingsslipper ukryptert.
Mer informasjon om GDPR
Organisatoriske sikkerhetstiltak
Bedrifter må også ta hensiktsmessige organisatoriske sikkerhetstiltak. For eksempel å tilby opplæring til ansatte i databeskyttelse, implementere autorisasjonsstyring og etablere ulike skriftlige prosedyrer og instruksjoner til ansatte.