Tekniske foranstaltninger
Autentificering er en teknisk sikkerhedsforanstaltning
Det kan være nødvendigt for personer at bekræfte deres identitet for at sikre, at den rette person har adgang til systemer, der indeholder personoplysninger. Dette kaldes autentificering. Når en virksomhed har brug for effektiv godkendelsesstyring for at forhindre uautoriseret adgang til oplysninger, kan det være nyttigt at implementere en sikker godkendelsesproces.
Tekniske sikkerhedsforanstaltninger: Godkendelse
Virksomheder, der er underlagt GDPR, skal gennemføre forskellige passende sikkerhedsforanstaltninger for at beskytte personoplysninger. Nedenfor kan du læse mere om autentificering, som er en type teknisk sikkerhedsforanstaltning.
Fælles type autentificeringsproces
Det er almindeligt for folk at oprette en brugerkonto med en adgangskode, som de skal bruge for at logge ind på f.eks. et system. Det er en form for godkendelse, men ikke altid sikker nok. Derfor er det almindeligt, at en bruger også skal supplere login med noget ekstra i godkendelsesprocessen. Hvis en person f.eks. skal logge ind i sin bank for at overføre penge til en anden, skal vedkommende muligvis bekræfte sin identitet ved også at angive en sikkerhedskode.
Eksempler på mere sikre måder at autentificere end blot brugernavne og adgangskoder
- BankID: Ifølge et EU-direktiv skal alle lande i Unionen implementere en applikation, som borgerne kan bruge til at bekræfte deres identitet digitalt, et såkaldt BankID. Det er en sikrere måde for folk at bekræfte deres identitet, end blot ved at logge ind via brugernavn og adgangskode.
- Fingeraftryk: En anden måde til mere sikker autentificering er, at for eksempel en medarbejder, der skal logge ind på et system med følsomme personoplysninger, skal logge ind på systemet med et navn, adgangskode og fingeraftryk.
Hvordan virksomheder kan bruge autentificering i praksis
Behov
Det første, en virksomhed skal gøre, er at analysere behovet for godkendelse. Hvilke typer personoplysninger skal f.eks. beskyttes gennem en sikker autentificeringsproces.
Dokumentation
Det er godt altid at dokumentere virksomhedens databeskyttelsesarbejde, da det gør det nemmere at bevise, at virksomheden overholder GDPR i praksis. Hvis behandlingen vedrører personoplysninger, der fortjener ekstra beskyttelse, er det særlig vigtigt f.eks. at udarbejde en politik for deres håndtering. Derudover er det godt at udarbejde skriftlige instruktioner og give passende uddannelse til medarbejderne.
Brugerkonti
Det er godt, hvis alle brugere har deres egne brugerkonti, i stedet for at dele en fælles. På den måde kan virksomheden lettere se, hvem der har gjort hvad i systemet, og kontrollere, at personoplysninger behandles korrekt. Derudover er det godt, hvis adgangskoderne er komplekse og stærke. Hvis virksomheden har brug for en mere sikker autentificeringsproces med f.eks. smartkort, bør disse også være individuelle pr. bruger.
Godkendelsesproces
Jo vigtigere de behandlede personoplysninger er, desto højere er sikkerhedskravene. Derfor er det vigtigt, at autentificeringen svarer til klasseniveauet for dem.
Logning
Af sikkerhedsmæssige årsager er det godt at logge mislykkede loginforsøg. Det samme gælder for vellykkede logins.
Ikke for drastiske tiltag
Bemærk, at det ikke altid er hensigtsmæssigt at gennemføre drastiske foranstaltninger vedrørende identifikation. Det kan f.eks. være uforholdsmæssigt at kræve, at en person indsender en fotokopi af sit pas, når vedkommende sletter sin brugerkonto på en gratis tjeneste.
Læs mere om GDPR
Backup er en anden teknisk foranstaltning
For at undgå, at personoplysninger slettes ulovligt, er det en god idé at sikkerhedskopiere dem. For eksempel ved at gemme kopierne på en cloud-tjeneste, så virksomheden er i stand til at gendanne tabte personoplysninger, hvis det er nødvendigt. Hvis personoplysninger slettes ulovligt eller ved et uheld, f.eks. fordi en computer, der lagrer personoplysninger, er berørt af en virus, er der tale om et brud på persondatasikkerheden. Derfor er det en forebyggende teknisk sikkerhedsforanstaltning at have sikkerhedskopier af lagrede data. Bemærk, at det er vigtigt at beskytte sikkerhedskopierne, ligesom virksomheder skal beskytte originalerne.