Tekniska åtgärder
Autentisering är en teknisk säkerhetsåtgärd
Det kan vara nödvändigt för personer att behöva bekräfta sin identitet för att säkerställa att rätt person får åtkomst till system som innehåller personuppgifter. Detta är kallat för autentisering. När ett företag behöver effektiv behörighetsstyrning för att hindra obehöriga från att komma åt information, kan det vara bra att implementera en säker autentiseringsprocess.
Tekniska säkerhetsåtgärder: Autentisering
Företag som omfattas av GDPR ska implementera olika lämpliga säkerhetsåtgärder för att skydda personuppgifterna. Nedan kan du läsa mer om autentisering, som är en typ av teknisk säkerhetsåtgärd.
Vanlig typ av autentiseringsprocess
Det är vanligt att personer skapar ett användarkonto med ett lösenord som de måste använda för att kunna logga in på till exempel ett system. Det är en typ av autentisering, men inte alltid tillräckligt säker. Därför är det vanligt att en användare också behöver komplettera inloggningen med något ytterligare i autentiseringsprocessen. Till exempel om en person ska logga in på sin bank för att överföra pengar till någon, kan personen behöva verifiera sin identitet genom att även uppge en säkerhetskod.
Exempel på säkrare sätt för autentisering än enbart användarnamn och lösenord
- BankID: Enligt ett EU-direktiv, måste alla länder i unionen implementera en applikation som medborgarna kan använda för att bekräfta sin identitet digitalt, ett så kallat BankID. Det är ett säkrare sätt för personer att bekräfta sin identitet, än enbart genom inloggning via användarnamn och lösenord.
- Fingeravtryck: Ett annat sätt för säkrare autentisering är att till exempel en medarbetare som ska logga in på ett system med känsliga personuppgifter, behöver logga in i systemet med ett namn, lösenord samt sitt fingeravtryck.
Hur företag kan använda autentisering i praktiken
Behov
Det första ett företag behöver göra är att analysera behovet av autentisering. Till exempel, vilka typer av personuppgifter som kan behöva bli skyddade genom en säker autentiseringsprocess.
Dokumentation
Det är bra att alltid dokumentera verksamhetens dataskyddsarbete, eftersom det gör det enklare att bevisa att företaget följer GDPR i praktiken. Om behandlingen avser extra skyddsvärda personuppgifter, är det särskilt viktigt att till exempel skapa en policy om hanteringen av dem. Dessutom är det bra att upprätta skriftliga instruktioner och ge lämplig utbildning till medarbetarna.
Användarkonton
Det är bra om alla användare har egna användarkonton, istället för att dela på ett gemensamt. På så sätt kan företaget enklare se vem som gjort vad i systemet, och kontrollera att personuppgifter blir behandlade korrekt. Dessutom är det bra om lösenorden är komplexa och starka. Om företaget behöver en säkrare autentiseringsprocess med till exempel smarta kort, bör dessa också vara individuella per användare.
Autentiseringsprocess
Ju viktigare personuppgifter behandlingen avser, desto högre är kraven på säkerhet. Därför är det viktigt att autentiseringen motsvarar klassnivån av dem.
Loggföring
Av säkerhetsskäl är det bra att loggföra misslyckade inloggningsförsök. Detsamma gäller lyckade inloggningar.
Inte för drastiska åtgärder
Observera att det inte alltid är lämpligt att implementera för drastiska åtgärder i samband med identifiering. Till exempel kan det vara oproportionerligt att begära att en person skickar in en fotokopia på sitt pass, när denne ska ta bort sitt användarkonto på en gratistjänst.
Mer information om GDPR
Säkerhetskopiering
För att undvika att personuppgifter blir raderade olovligt, är det bra att säkerhetskopiera dem. Till exempel genom att lagra kopiorna på en molntjänst, så att företaget har möjlighet att återställa förlorade personuppgifter vid behov. Om personuppgifter blir raderade olovligt eller av misstag, exempelvis på grund av att en dator som lagrar personuppgifter blir drabbad av ett virus, är det en personuppgiftsincident. Därför är det en förebyggande teknisk säkerhetsåtgärd att ha säkerhetskopior på lagrad data. Observera att det är viktigt att skydda säkerhetskopiorna, precis som företag måste skydda originalen.