GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

GDPR – dokumenter

Etablere en IT-sikkerhetspolitikk

Det er nyttig for bedrifter å etablere en IT- sikkerhetspolitikk, som er et sentralt styringsdokument som utgjør et godt organisatorisk sikkerhetstiltak. 

Hva er politikk?

En politikk er et omfattende politikkdokument, i motsetning til en prosedyre som beskriver hvordan arbeidet skal utføres i praksis. Det kan være flere utfyllende framgangsmåter for å nå målene i en politikk. En politikk angir retning, mål og visjon. Med andre ord, hva selskapet ønsker å oppnå og betydningen av det. Vær oppmerksom på at en politikk bør være:

Horisontalt: I en politikk skal det fastsettes overordnede mål og visjoner for foretaket på dette området. Det beskriver ikke nøyaktig hvordan selskapet skal gjøre det, men hva som gjelder. For eksempel, hvis selskapet etablerer en personvernpolitikk og en IT-sikkerhetspolitikk, gir det et godt grunnlag for å overholde GDPR-reglene.

Strategisk innhold: Rutiner er mer sannsynlig å endre seg over tid, da de er mer daglige instruksjoner og praktisk informasjon. En politikk er mer langsiktig og strategisk. Det hjelper blant annet å peke på ambisjonen til et bestemt område. Det er rom for tilpasning, men den strategiske retningen endres vanligvis ikke.

Lett å forstå og konsist: En politikk bør ikke være lang og komplisert å forstå, da dette risikerer å miste hele formålet med politikken. Det bør utformes på en enkel måte slik at alle ansatte forstår det. I tillegg er det lettere å huske når det er kortere, noe som reduserer risikoen for feil. En politikk bør derfor ha noen sentrale prinsipper og deretter en eller flere prosedyrer for å overholde dem. 

En prosedyre beskriver hvordan ansatte skal gjøre det som kreves av en politikk. 

What breaches of the GDPR can lead to an administrative fine?

En IT-sikkerhetspolitikk er et organisatorisk sikkerhetsmål

En IT-sikkerhetspolitikk er et dokument som gir et rammeverk for hvordan selskapet skal jobbe i IT-miljøet i samsvar med GDPR. Vær oppmerksom på at det ikke er en manuell, for eksempel en rutine, men mer et strategisk styringsdokument som er mer omfattende. Bedrifter må ta tekniske og organisatoriske tiltak for å overholde GDPR, og en IT-sikkerhetspolitikk er et godt organisatorisk sikkerhetstiltak. 

Fordelene ved å etablere en IT-sikkerhetspolitikk

  • Det er lettere for de ansatte å forstå hva selskapet strever etter. 
  • Reduserer risikoen for brudd på personopplysninger.
  • Klargjør hvem som skal motta hvilke kompetanser.
  • Hjelper foretaket å forstå hvilke framgangsmåter som kan være hensiktsmessige for å oppfylle politikkens visjon. 
  • Et middel for å demonstrere overholdelse av GDPR i tilfelle tilsyn.

Prosedyrer som er bra for bedrifter å ha på plass for å overholde IT-sikkerhetspolitikken i praksis

  • Deling av data internt.
  • Onboarding og offboarding av personell.
  • Sletting av personopplysninger.
  • Håndtering av passord.

Viktige elementer som er nyttige for inkludering i en IT-sikkerhetspolitikk

Sensitive personal data according to GDPR

Formål

Forklar formålet med IT-sikkerhetspolitikken og hvorfor det er viktig å ha god IT-sikkerhet. I tillegg er det nyttig å inkludere hvordan selskapet skal beskytte personopplysninger gjennom hele livssyklusen, fra innsamling til tynning. Inkluder også at risikovurderinger og personvern ved design er på grunnlag av sikkerhet.

What is the definition of anonymised data?

Roller og ansvar

Det er nyttig å være tydelig i politikken om roller og ansvar i selskapet. For eksempel hvilke avdelinger som er ansvarlige for hva, hvilket ansvar ansatte har for å overholde politikken, ledelsens ansvar og roller, etc. Ved å ha klare roller, redusere risikoen for sikkerhetshull og effektivisere arbeidet.

Subjektivt integritetskänsliga personuppgifter

Kontroll av kompetanse

Det er nyttig å klargjøre at tilgangsrettigheter bør være basert på "behov for å vite"-prinsippet, ikke "godt å vite"-prinsippet. Med andre ord, bare personer som trenger tilgang til personopplysninger for å utføre sine oppgaver, bør gis tilgang.

Håndtering av ulike enheter

En IT-sikkerhetspolitikk bør omfatte administrasjon av mobile enheter, for eksempel bruk av private mobiltelefoner eller bærbare datamaskiner for arbeidsrelaterte formål. Det er viktig å huske på at mobile enheter er en vanlig årsak til brudd på personopplysninger. Det er derfor nyttig å inkludere viktigheten av riktig bruk i samsvar med de interne prosedyrene og overordnede målene for politikken.

Measures that companies need to take to comply with GDPR

Håndtering av brudd på personopplysningssikkerheten

Bedrifter må håndtere personopplysningshendelser i henhold til GDPR, da ellers risikerer selskapet å betale bøter. Det er derfor nyttig å inkludere betydningen av dette, hva som utgjør et brudd på personopplysninger, hvordan man rapporterer, intern og ekstern rapportering, etc.

Subjektivt integritetskänsliga personuppgifter

Loggføring

Logging er et godt tiltak som de fleste selskaper bør ta. For eksempel logge tilgang til ulike IT-systemer. I tillegg er det viktig å beskytte loggene mot manipulasjon.

Tekniske sikkerhetstiltak

Håndtering av passord

Passordhåndtering er et viktig sikkerhetstiltak som alle bedrifter bør jobbe med. IT-sikkerhetspolitikken bør derfor inkludere viktigheten av sikker passordadministrasjon.

Kryptering

Hvis selskapet krypterer personopplysninger, bør dette gjenspeiles i IT-sikkerhetspolitikken. Dette gjelder vanligvis spesielt for behandling av sensitive personopplysninger eller andre personvernsensitive personopplysninger.

Antivirus og brannmurer

Antivirusbeskyttelse og brannmurer er vanlige tekniske sikkerhetstiltak og bør inkluderes i IT-sikkerhetspolitikker hvis de brukes.

Sikkerhetskopiering

Sikkerhetskopieringsfiler er et felles teknisk sikkerhetsforanstaltning for å forhindre ødeleggelse av personopplysninger. En IT-sikkerhetspolitikk bør inkludere intervaller for sikkerhetskopiering, ansvarsområder og sikkerhetskopieringsløsninger for bedrifter.

Organisatoriske sikkerhetstiltak

Databehandleravtale

Bedrifter overfører ofte personopplysninger til en tredjepart. I tillegg kan det i noen tilfeller være en operatør i en tredjestat. Det er viktig å sikre overholdelse av GDPR. Dette betyr blant annet at selskapet som er behandlingsansvarlig må inngå en skriftlig prosessoravtale når de engasjerer en prosessor.

Utdannelse

Ansatte bør få noen form for opplæring for å kunne utføre sine oppgaver riktig og i samsvar med gjeldende lov. I tillegg bør de få ytterligere opplæring når de for eksempel skal få en ny rolle. IT-sikkerhetspolitikken bør inneholde hvilke roller som kan trenge hvilken opplæring.

Retningslinjer for bruk av Internett

De fleste ansatte har en tendens til å bruke Internett i sitt arbeid. For eksempel å sende e-post eller søke etter informasjon på nettet. Det er viktig å lære ansatte hvordan de kan bruke Internett trygt gjennom skriftlige retningslinjer, slik at de kan unngå phishing-svindel og besøk på farlige nettsteder.

Mer informasjon om handlinger

Passord rutiner som kan være bra for bedrifter å ha

Bruken av sterke passord av ansatte er nyttig da det gir et godt grunnlag for å beskytte personopplysningene som behandles av selskapet mot uautorisert tilgang. Jo viktigere personopplysningene som behandles, desto bedre passordhåndtering er nødvendig. For eksempel kan det være hensiktsmessig å implementere to-trinns autentisering eller innlogging gjennom biometriske personopplysninger. 

Lyst til å lære mer?

Les mer
Skroll til toppen