GDPR
Passordprosedyrer for ansatte
Vi lever i et stadig mer digitalisert samfunn, der praktisk talt alle ansatte i bedrifter trenger tilgang til ulike systemer som krever passord for tilgang. Det er derfor nyttig å ha passordprosedyrer for ansatte for å regulere passordhåndtering.
Formål med etablering av passordprosedyrer for ansatte
Sterke passord gir et godt grunnlag for å beskytte personopplysninger som behandles mot uautorisert tilgang. Ofte er sterke passord ansett som den første forsvarslinjen. Her er noen mål for å sette opp passordprosedyrer for ansatte:
- Sikre at alle ansattes passord til selskapets digitale systemer er av høy sikkerhet og kvalitet.
- Gjør det klart for alle ansatte hvordan de skal administrere passordene sine, slik at risikoen for overtredelse reduseres.
- Beskytt bedriftens passordbeskyttede systemer mot uautorisert tilgang.
- Bistå selskapet i å sikre overholdelse av prinsippet om integritet og konfidensialitet fastsatt i artikkel 5 (1) (f) GDPR.
Bedrifter må forhindre brudd på personopplysninger
Selskaper skal forhindre brudd på personopplysninger ved å implementere hensiktsmessige tekniske og organisatoriske sikkerhetstiltak. Mange databrudd oppstår på grunn av svak passordadministrasjon. Det er derfor nyttig å etablere passordprosedyrer for ansatte og sørge for at de bruker sterke passord. I tillegg bør selskapet etablere en generell passordpolicy.
Politikk og politikk er ikke det samme
Det kan være vanskelig å skille mellom politikk og praksis. En policy er et overordnet policydokument der virksomheten beskriver hva som skjer, målet, prinsippene de arbeider med og den strategiske retningen. I stedet er en prosedyre instruksjoner som beskriver hvordan ansatte skal gjøre praktisk for å oppnå målene i politikken. I noen tilfeller kan det være hensiktsmessig å ha flere framgangsmåter for å overholde en politikk.
Hjelper ansatte å vite hvordan de skal beskytte kontoene sine i sin rolle
Det er de ansatte i selskapet som er involvert i behandlingen av personopplysninger på daglig basis. Det er derfor viktig å utstyre dem med de riktige verktøyene for å gjøre det i tråd med GDPR. For eksempel bør arbeidsgiveren gi dem riktig informasjon, for eksempel om riktig passordhåndtering ved å etablere skriftlige interne passordprosedyrer for ansatte.
Passordhåndtering ved behandling av viktige personopplysninger
Ved behandling av viktige personopplysninger i digitale systemer, for eksempel sensitive personopplysninger eller andre personvernsensitive personopplysninger, er det nyttig å enten implementere inlogs gjennom to-trinns autentisering eller biometriske data (for eksempel fingeravtrykk eller ansiktsgjenkjenning).
To-trinns autentisering til systemer med sensitive personopplysninger
Det er bra for bedrifter å ha to-trinns autentisering når de logger inn på systemer som inneholder sensitive personopplysninger. Det samme gjelder dersom andre personvernsensitive personopplysninger behandles i systemet. Eksempler på to-trinns autentisering er å sende en kode til brukerens mobiltelefonnummer som er registrert i systemet, når brukeren prøver å logge inn med et passord. Dette vil forhindre at uautoriserte personer som får tilgang til passordet, kommer inn i systemet.
Logg over biometriske personopplysninger
I visse tilfeller kan det være hensiktsmessig å ha innlogginger via biometriske personopplysninger. Eksempler på behandling av biometriske data er ved innlogging til systemer gjennom fingeravtrykk, ansiktsgjenkjenning eller irisavlesning. Hvis den autoriserte brukeren må bruke en av sine biometriske personopplysninger for å logge inn i systemet, er det vanskelig for uvedkommende å få tilgang til systemet. Vær oppmerksom på at biometriske personopplysninger utgjør sensitive personopplysninger i henhold til artikkel 9 GDPR.
Hva kan en passordprosedyre inneholde?
Sturgeon krav
Det er viktig å inkludere styrkekrav for å gjøre det lettere for ansatte å vite om de har valgt et tilstrekkelig sikkert passord eller ikke. For eksempel må passord inneholde minst 15 tegn, inneholde store og små bokstaver, spesialtegn, etc. I tillegg er det godt å forby passord som er for enkle å gjette, og de som er knyttet til den ansattes personlige opplysninger, for eksempel navn og fødselsdato.
Regler for endring av passord
Endring av passord er ikke uvanlig, og det er derfor viktig å regulere det. For eksempel når du skal endre et passord (for eksempel en mistanke om eksponering) og hvordan du oppdaterer det internt, slik at andre ansatte som trenger tilgang til passordet, mottar det.
Forbud mot
Det er viktig å avklare hva som er forbudt, slik at det er lett for ansatte å forstå forbudene. For eksempel kan flere personer ikke bruke samme konto eller dele en brukerkonto, med mindre det er uttrykkelig godkjent av arbeidsgiveren.
To-trinns autentisering
I noen tilfeller kan det være nyttig å ha flerfaktorautentisering, for eksempel når du logger inn på systemer med viktige personopplysninger. Det er nyttig å avklare når dette er hensiktsmessig å aktivere. Vær oppmerksom på at dette er en av de mest effektive sikkerhetstiltakene selskapet kan ta for å beskytte kontoer mot å bli kapret.
Lagring og beskyttelse
Det er viktig å lagre personopplysninger på en tilstrekkelig sikker måte. For eksempel tilbyr ulike digitale tjenester sømløs passordadministrasjon gjennom krypterte metoder. Husk å ikke registrere passord i kombinasjon med brukernavn på ubeskyttede steder, poste det notater på kontoret eller lignende.
Mobile enheter
Mobile enheter er vanlige i bedrifter, og deres bruk til å behandle personopplysninger er ikke uvanlig. I slike tilfeller er det viktig å ha tilstrekkelig beskyttelse. Biometrisk autentisering kan være hensiktsmessig, særlig når sensitive personopplysninger som er lagret i mobilenheten, er til stede (f.eks. en mobiltelefon eller bærbar datamaskin).
Tilbakestill
I noen tilfeller må ansatte kanskje tilbakestille passordet sitt. I slike tilfeller er det nyttig å regulere hvordan identifikasjon finner sted og reglene for å sende tilbakestillingskoblinger.
Mistanke om eksponering
Det er viktig at ansatte vet hvordan de skal handle i tilfelle mistanke om passordeksponering. For eksempel, endre passordet umiddelbart, dokumentere det og, hvis mulig, inkludert en beskrivelse av hvordan eksponeringen kunne ha skjedd, da dette kan hjelpe selskapet til å forhindre lignende hendelser i fremtiden.
Utdannelse
Det er nyttig å klargjøre i de interne passordprosedyrene at alle ansatte bør treffe hensiktsmessige tiltak for å beskytte passordene sine. I tillegg er det nyttig å inkludere opplæring av nye ansatte i ombordstigningsprosessen. For eksempel, hvordan å forhindre phishing-svindel.
Mer informasjon
Personvern er en annen policy som kan være nyttig å etablere
En personvernpolicy er et internt styringsdokument som hjelper selskapets ansatte til å vite hvordan de skal handle i samsvar med GDPR. Dette er ikke det samme som en personvernerklæring, som er rettet eksternt til registrerte. I stedet bidrar en personvernpolicy til å skape en god struktur i selskapets personvernarbeid, noe som kan hjelpe selskapet og dets ansatte til å overholde GDPR-reglene.