Teknisk sikkerhetsforanstaltning
Autentisering er en teknisk sikkerhetsforanstaltning
Det kan være nødvendig for personer å bekrefte sin identitet for å sikre at rett person har tilgang til systemer som inneholder personopplysninger. Dette kalles autentisering. Når et foretak trenger effektiv autorisasjonskontroll for å hindre uautorisert tilgang til informasjon, kan det være nyttig å gjennomføre en sikker autentiseringsprosess.
Tekniske sikkerhetsforanstaltninger: Autentisering
Selskaper som omfattes av GDPR skal implementere ulike passende sikkerhetstiltak for å beskytte personopplysninger. Nedenfor finner du mer informasjon om autentisering, som er en type teknisk sikkerhetstiltak.
Vanlig type autentiseringsprosess
Det er vanlig for folk å opprette en brukerkonto med et passord som de må bruke for å kunne logge inn på for eksempel et system. Det er en type autentisering, men ikke alltid tilstrekkelig sikker. Derfor er det vanlig at en bruker også må legge til noe videre til innloggingen i autentiseringsprosessen. For eksempel, hvis en person er å logge inn på hans eller hennes bank for å overføre penger til noen, kan han eller hun trenger å bekrefte hans eller hennes identitet ved også å gi en sikkerhetskode.
Eksempler på sikrere måter å autentisere enn bare brukernavn og passord
- Bankens legitimasjon: I henhold til et EU-direktiv må alle land i EU implementere en søknad som innbyggerne kan bruke til å bekrefte identiteten sin digitalt, kjent som BankID. Det er en tryggere måte for folk å bekrefte sin identitet, ikke bare ved å logge inn via brukernavn og passord.
- Fingeravtrykk: En annen måte å sikre autentisering på er for eksempel at en medarbeider som må logge inn på et sensitivt persondatasystem, må logge inn på systemet med navn, passord og fingeravtrykk.
Hvordan virksomheter kan bruke autentisering i praksis
Behov for
Det første et selskap må gjøre er å analysere behovet for autentisering. For eksempel hvilke typer personopplysninger som må beskyttes av en sikker autentiseringsprosess.
Dokumentasjon
Det er nyttig å alltid dokumentere databeskyttelsesarbeidet i virksomheten din, da dette gjør det lettere å bevise at bedriften din overholder GDPR i praksis. Hvis behandlingen gjelder ytterligere personopplysninger som fortjener beskyttelse, er det spesielt viktig å opprette for eksempel en policy for deres ledelse. I tillegg er det nyttig å utarbeide skriftlige instruksjoner og gi passende opplæring for personalet.
Brukerkontoer
Det er bra hvis alle brukere har sine egne brukerkontoer, i stedet for å dele en. Dette vil gjøre det enklere for bedriften å se hvem som har gjort hva i systemet, og å kontrollere at personopplysninger behandles korrekt. I tillegg er det bra hvis passordene er komplekse og sterke. Hvis bedriften trenger en sikrere autentiseringsprosess med for eksempel smartkort, bør disse også være individuelle per bruker.
Autentiseringsprosess
Jo viktigere personopplysninger behandles, desto høyere er kravene til sikkerhet. Derfor er det viktig at autentiseringen tilsvarer deres klassenivå.
Oppbevaring av logger
Av sikkerhetsgrunner er det nyttig å logge mislykkede påloggingsforsøk. Det samme gjelder for vellykkede pålogginger.
Ikke for drastiske aksjoner
Vær oppmerksom på at det ikke alltid er hensiktsmessig å gjennomføre drastiske tiltak i forbindelse med identifikasjon. For eksempel kan det være uforholdsmessig å be en person om å sende en kopi av passet sitt når de sletter brukerkontoen sin på en gratis tjeneste.
Mer informasjon om GDPR
Backup er et annet teknisk tiltak
For å unngå ulovlig sletting av personopplysninger, er det nyttig å sikkerhetskopiere dem. For eksempel ved å lagre kopiene på en skytjeneste, slik at selskapet har mulighet til å gjenopprette tapte personopplysninger om nødvendig. Ulovlig eller utilsiktet sletting av personopplysninger, for eksempel på grunn av et virus som påvirker en datamaskin som lagrer personopplysninger, utgjør et brudd på personopplysninger. Derfor er det et forebyggende teknisk sikkerhetsforanstaltning å ha sikkerhetskopier på lagrede data. Vær oppmerksom på at det er viktig å beskytte sikkerhetskopiene, akkurat som selskaper må beskytte originalene.