GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

GDPR - DOKUMENTER

Fastlægge en IT-sikkerhedspolitik

Det er nyttigt for virksomhederne at fastlægge en IT-sikkerhedspolitik, som er et centralt forvaltningsdokument, der udgør en god organisatorisk sikkerhedsforanstaltning. 

Hvad er en politik?

En politik er et omfattende politikdokument i modsætning til en procedure, der beskriver, hvordan arbejdet skal udføres i praksis. Der kan være flere komplementære procedurer til opfyldelse af målene for en politik. En politik fastlægger retningen, målene og visionen. Med andre ord, hvad virksomheden ønsker at opnå, og betydningen heraf. Bemærk, at en politik bør være:

Overordnet: En politik skal fastlægge de overordnede mål og visioner for virksomheden på dette område. Den beskriver ikke præcist, hvordan virksomheden skal gøre det, men hvad der gælder. Hvis virksomheden f.eks. fastlægger en politik for beskyttelse af privatlivets fred og en IT-sikkerhedspolitik, giver den et godt grundlag for at overholde GDPR’s regler.

Strategisk: Procedurerne er mere tilbøjelige til at ændre sig over tid, da de er mere daglige instrukser og praktiske oplysninger. En politik er mere langsigtet og strategisk. Den bidrager bl.a. til at fremhæve ambitionen for et bestemt område. Der er plads til tilpasning, men den strategiske retning ændrer sig normalt ikke.

Let at forstå og koncis: En politik bør ikke være lang og kompliceret at forstå, da dette risikerer at miste hele formålet med politikken. Den bør udformes på en enkel måde, så alle medarbejdere forstår den. Desuden er det lettere at huske, når den er kortere, hvilket mindsker risikoen for fejl. En politik bør derfor have nogle centrale principper og derefter en eller flere procedurer for at overholde dem. 

En procedure beskriver, hvordan personalet skal gøre, hvad der kræves i henhold til en politik. 

What breaches of the GDPR can lead to an administrative fine?

En IT-sikkerhedspolitik er en organisatorisk sikkerhedsforanstaltning

En IT-sikkerhedspolitik er et dokument, der udgør en ramme for, hvordan virksomheden vil arbejde i IT-miljøet i overensstemmelse med GDPR. Bemærk, at det ikke er en håndbog, f.eks. en rutine, men snarere et strategisk styringsdokument, der er mere omfattende. Virksomhederne skal træffe tekniske og organisatoriske foranstaltninger for at overholde GDPR, og en IT-sikkerhedspolitik er en god organisatorisk sikkerhedsforanstaltning. 

Fordele ved at fastlægge en IT-sikkerhedspolitik

  • Lettere for medarbejderne at forstå, hvad virksomheden stræber efter. 
  • Mindsker risikoen for brud på persondatasikkerheden.
  • Præciserer, hvem der skal modtage hvilke kompetencer.
  • Hjælper virksomheden med at forstå, hvilke procedurer der kan være hensigtsmæssige for at opfylde politikkens vision. 
  • Et middel til at påvise overholdelse af GDPR i tilfælde af tilsyn.

Procedurer, der er gode for virksomhederne, så de kan overholde IT-sikkerhedspolitikken i praksis

  • Udveksling af data internt.
  • Indstigning og udstigning af personale.
  • Sletning af personoplysninger.
  • Administration af adgangskoder. 

Centrale elementer, der er nyttige at medtage i en IT-sikkerhedspolitik

Sensitive personal data according to GDPR

Formål

Forklar formålet med IT-sikkerhedspolitikken, og hvorfor det er vigtigt at have god IT-sikkerhed. Desuden er det nyttigt at medtage, hvordan virksomheden bør beskytte personoplysninger i hele sin livscyklus, fra indsamling til udtynding. Medtag også, at risikovurderinger og indbygget privatlivsbeskyttelse er grundlaget for sikkerhed.

What is the definition of anonymised data?

Funktioner og ansvarsområder

Det er nyttigt at gøre det klart i politikken, hvilke roller og ansvarsområder virksomheden har. F.eks. hvilke afdelinger der er ansvarlige for hvad, hvilke ansvarsområder medarbejderne skal overholde politikken, ledelsens ansvarsområder og roller osv. Ved at have klare roller, mindske risikoen for sikkerhedsmangler og strømline arbejdet.

Subjektivt integritetskänsliga personuppgifter

Kontrol af kompetence

Det er nyttigt at præcisere, at adgangsrettigheder bør baseres på "need-to-know" -princippet og ikke "good to know" -princippet. Med andre ord bør kun personer, der har brug for adgang til personoplysninger for at kunne udføre deres opgaver, have adgang.

Håndtering af forskellige enheder

En IT-sikkerhedspolitik bør omfatte forvaltning af mobile enheder såsom brug af private mobiltelefoner eller bærbare computere til arbejdsrelaterede formål. Det er vigtigt at huske på, at mobile enheder er en almindelig årsag til brud på persondatasikkerheden. Det er derfor nyttigt at medtage betydningen af korrekt anvendelse i overensstemmelse med de interne procedurer og politikkens overordnede mål.

Measures that companies need to take to comply with GDPR

Håndtering af brud på persondatasikkerheden

Virksomhederne skal håndtere hændelser vedrørende personoplysninger korrekt i henhold til GDPR, da virksomheden ellers risikerer at betale en bøde. Det er derfor nyttigt at medtage betydningen heraf, hvad der udgør et brud på persondatasikkerheden, hvordan man indberetter, intern og ekstern indberetning osv.

Subjektivt integritetskänsliga personuppgifter

Skovhugst

Skovhugst er en god foranstaltning, som de fleste virksomheder bør træffe. F.eks. logning af adgang til forskellige IT-systemer. Desuden er det vigtigt at beskytte logfilerne mod manipulation.

Tekniske sikkerhedsforanstaltninger

Adgangskoder

Administration af adgangskoder er en vigtig sikkerhedsforanstaltning, som alle virksomheder bør arbejde på. IT-sikkerhedspolitikken bør derfor omfatte betydningen af sikker forvaltning af adgangskoder.

Kryptering

Hvis virksomheden krypterer personoplysninger, bør dette afspejles i IT-sikkerhedspolitikken. Dette er normalt tilfældet, navnlig i forbindelse med behandling af følsomme personoplysninger eller andre personoplysninger, der er følsomme over for privatlivets fred.

Antivirusser og firewalls

Antivirusbeskyttelse og firewalls er fælles tekniske sikkerhedsforanstaltninger og bør medtages i IT-sikkerhedspolitikker, hvis de anvendes.

Backup

Backupfiler er en fælles teknisk sikkerhedsforanstaltning, der skal forhindre tilintetgørelse af personoplysninger. En IT-sikkerhedspolitik bør omfatte backupintervaller, ansvarsområder og backupløsninger for virksomheder.

Organisatoriske sikkerhedsforanstaltninger

Databehandleraftale

Virksomheder overfører ofte personoplysninger til en tredjepart. Desuden kan det i nogle tilfælde være en operatør i et tredjeland. Det er vigtigt at sikre overholdelse af GDPR. Det betyder bl.a., at den virksomhed, der er dataansvarlig, skal indgå en skriftlig databehandleraftale, når den ansætter en databehandler.

Uddannelse

Medarbejderne bør modtage en eller anden form for uddannelse for at kunne udføre deres opgaver korrekt og i overensstemmelse med gældende ret. Desuden bør de modtage yderligere uddannelse, f.eks. når de skal tildeles en ny rolle. IT-sikkerhedspolitikken bør omfatte, hvilke roller der kan have behov for hvilken uddannelse.

Retningslinjer for brug af internettet

De fleste ansatte bruger ofte internettet i deres arbejde. F.eks. ved at sende e-mails eller søge efter oplysninger online. Det er vigtigt at undervise personalet i sikker brug af internettet ved hjælp af skriftlige retningslinjer, så de kan undgå phishing-svindel og besøg på farlige websteder.

FLERE OPLYSNINGER OM TILTAG

Kodeordsrutiner, der kan være gode for virksomheder at have

Medarbejdernes brug af stærke adgangskoder er nyttig, da det giver et godt grundlag for at beskytte de personoplysninger, som virksomheden behandler, mod uautoriseret adgang. Jo vigtigere de behandlede personoplysninger er, desto bedre skal adgangskoden forvaltes. Det kan f.eks. være hensigtsmæssigt at gennemføre totrinsautentifikation eller logge på ved hjælp af biometriske personoplysninger. 

Vil du lære mere?

Læs mere
Scroll to Top