GDPR
Procedurer for lønordninger for ansatte
Vi lever i et stadig mere digitaliseret samfund, hvor næsten alle ansatte i virksomheder har brug for adgang til forskellige systemer, der kræver adgangskoder for at få adgang. Det er derfor nyttigt at have adgangskodeprocedurer for medarbejdere med henblik på at regulere forvaltningen af adgangskoder.
Formålet med at indføre adgangskodeprocedurer for ansatte
Stærke adgangskoder udgør et godt grundlag for at beskytte behandlede personoplysninger mod uautoriseret adgang. Ofte betragtes stærke adgangskoder som den første forsvarslinje. Her er nogle mål for indførelse af adgangskodeprocedurer for medarbejdere:
- Sikre, at alle medarbejderes adgangskoder til virksomhedens digitale systemer har et højt sikkerheds- og kvalitetsniveau
- Gøre det klart for alle medarbejdere, hvordan de skal forvalte deres adgangskoder, således at risikoen for overtrædelse reduceres.
- Beskyt din virksomheds passwordbeskyttede systemer mod uautoriseret adgang.
- Bistå virksomheden med at sikre overholdelse af princippet om integritet og fortrolighed som fastsat i artikel 5, stk. 1, litra f), i GDPR.
Virksomhederne skal forebygge brud på persondatasikkerheden
Virksomhederne skal forebygge brud på persondatasikkerheden ved at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. Der sker mange brud på datasikkerheden på grund af dårlig forvaltning af adgangskoder. Det er derfor nyttigt at indføre adgangskodeprocedurer for medarbejdere og sikre, at de anvender stærke adgangskoder. Desuden bør virksomheden fastlægge en overordnet adgangskodepolitik.
Politik og procedure er ikke de samme
Det kan være let at forveksle forskellen mellem en politik og en praksis. En politik er et overordnet politikdokument, hvori virksomheden beskriver, hvad der foregår, målet, de principper, de arbejder på, og den strategiske retning. I stedet er en procedure instrukser, der beskriver, hvordan medarbejderne bør gøre det praktisk for at nå politikkens mål. Det kan i nogle tilfælde være hensigtsmæssigt at have flere procedurer på plads for at overholde en politik.
Hjælper medarbejderne med at beskytte deres konti i deres rolle
Det er virksomhedens ansatte, der dagligt er involveret i behandlingen af personoplysninger. Det er derfor vigtigt at udstyre dem med de rette værktøjer til at gøre dette i overensstemmelse med GDPR. Arbejdsgiveren bør f.eks. give dem passende oplysninger, f.eks. om korrekt forvaltning af adgangskoder, ved at indføre skriftlige interne adgangskodeprocedurer for de ansatte.
Administration af adgangskoder ved behandling af vigtige personoplysninger
Ved behandling af vigtige personoplysninger i digitale systemer såsom følsomme personoplysninger eller andre personoplysninger, der er følsomme over for privatlivets fred, er det nyttigt enten at indføre logfiler gennem totrinsautentifikation eller biometriske data (såsom fingeraftryk eller ansigtsgenkendelse).
Totrinsautentifikation til systemer med følsomme personoplysninger
Det er godt for virksomhederne at have totrinsautentifikation, når de logger ind på systemer, der indeholder følsomme personoplysninger. Det samme gælder, hvis andre personoplysninger, der er følsomme over for privatlivets fred, behandles i systemet. Eksempler på totrinsautentifikation omfatter afsendelse af en kode til brugerens mobiltelefonnummer, der er registreret i systemet, når brugeren forsøger at logge ind med et password. Dette vil forhindre uautoriserede personer i at få adgang til systemet.
Log over biometriske personoplysninger
Det kan i visse tilfælde være hensigtsmæssigt at have logfiler via biometriske personoplysninger. Eksempler på behandling af biometriske data er, når man logger på systemer ved hjælp af fingeraftryk, ansigtsgenkendelse eller irislæsning. Hvis den autoriserede bruger skal bruge en af sine biometriske personoplysninger til at logge på systemet, er det vanskeligt for uautoriserede personer at få adgang til systemet. Bemærk, at biometriske personoplysninger udgør følsomme personoplysninger i henhold til artikel 9 i GDPR.
Hvad kan en adgangskodeprocedure indeholde?
Krav til stør
Det er vigtigt at medtage styrkekrav for at gøre det lettere for personalet at vide, om de har valgt et tilstrækkeligt sikkert password eller ej. Passwords skal f.eks. indeholde mindst 15 tegn, herunder store og små bogstaver, specialtegn osv. Desuden er det godt at forbyde passwords, der er for lette at gætte, og passwords, der er knyttet til medarbejderens personoplysninger, såsom navn og fødselsdato.
Regler for ændring af adgangskode
Det er ikke ualmindeligt at ændre passwords, og det er derfor vigtigt at regulere det. F.eks. hvornår en adgangskode skal ændres (f.eks. mistanke om eksponering), og hvordan den skal opdateres internt, således at andre medarbejdere, der har brug for adgang til adgangskoden, modtager den.
Forbud
Det er vigtigt at præcisere, hvad der er forbudt, således at det er let for arbejdstagerne at forstå forbuddene. Flere personer må f.eks. ikke anvende den samme konto eller dele en brugerkonto, medmindre arbejdsgiveren udtrykkeligt har givet tilladelse hertil.
Autentificering i to trin
I nogle tilfælde kan det være nyttigt at have multifaktorgodkendelse, f.eks. når man logger ind på systemer med vigtige personoplysninger. Det er nyttigt at præcisere, hvornår dette er hensigtsmæssigt at aktivere. Bemærk, at dette er en af de mest effektive sikkerhedsforanstaltninger, som virksomheden kan træffe for at beskytte konti mod at blive kapret.
Opbevaring og beskyttelse
Det er vigtigt at lagre personoplysninger på en tilstrækkelig sikker måde. Forskellige digitale tjenester tilbyder f.eks. problemfri adgangskodeforvaltning ved hjælp af krypterede metoder. Husk ikke at registrere passwords i kombination med brugernavne på ubeskyttede steder, poste dem på kontoret eller lignende.
Mobile enheder
Mobile enheder er almindelige i virksomheder, og deres anvendelse til behandling af personoplysninger er ikke ualmindelig. I sådanne tilfælde er det vigtigt at have tilstrækkelig beskyttelse. Biometrisk autentifikation kan være hensigtsmæssig, navnlig hvis følsomme personoplysninger, der er lagret på den mobile enhed, er til stede (f.eks. en mobiltelefon eller bærbar computer).
Nulstilling
I nogle tilfælde kan det være nødvendigt for medarbejderne at nulstille deres password. I sådanne tilfælde er det nyttigt at regulere, hvordan identifikation finder sted, og reglerne for afsendelse af nulstillingslinks.
Mistanke om eksponering
Det er vigtigt, at medarbejderne ved, hvordan de skal handle i tilfælde af mistanke om eksponering for adgangskoder. F.eks. øjeblikkelig ændring af adgangskoden, dokumentation heraf og om muligt en beskrivelse af, hvordan eksponeringen kunne have fundet sted, da dette kan hjælpe virksomheden med at forhindre lignende hændelser i fremtiden.
Uddannelse
Det er nyttigt at præcisere i de interne adgangskodeprocedurer, at alle medarbejdere bør træffe passende foranstaltninger til at beskytte deres adgangskoder. Desuden er det nyttigt at medtage uddannelse af nye medarbejdere i onboardingprocessen. F.eks. hvordan man forebygger phishing-svindel.
FLERE OPLYSNINGER
Fortrolighedspolitik er en anden politik, der kan være nyttig til at etablere
En politik til beskyttelse af privatlivets fred er et internt ledelsesdokument, der hjælper virksomhedens ansatte med at vide, hvordan de skal handle i overensstemmelse med GDPR. Dette er ikke det samme som en meddelelse om beskyttelse af privatlivets fred, som sendes eksternt til de registrerede. I stedet bidrager en politik til beskyttelse af privatlivets fred til at skabe en god struktur i virksomhedens databeskyttelsesarbejde, som kan hjælpe virksomheden og dens ansatte med at overholde GDPR’s regler.