Menneskelige fejl bag 2/3 af alle databrud
Den 15. maj i år kritiserede Rigsrevisionen en række myndigheder for ikke at gøre nok for at sikre, at personoplysninger opbevares sikkert hos databehandlere. Selv Datatilsynet er blevet kritiseret for ikke at kunne dokumentere, at Datatilsynets planlagte tilsyn er risikobaserede. Datatilsynet arbejder nu på at få et mere dokumenteret og databaseret koncept for udførelsen af de planlagte tilsyn.
Da netop risikovurdering er et gennemgående og bærende krav i GDPR-reglerne, er der derfor stor sandsynlighed for, at kravene til dokumentation af risikovurdering fremover kommer langt mere i søgelyset. Både internt omkring egne it-systemer og eksternt omkring databehandlere – men også medarbejdernes håndtering af personoplysninger er pludselig blevet interessant.
Omkring 2/3 af alle brud på sikkerheden skyldes nemlig menneskelige (medarbejder)fejl, mens resten overvejende skyldes it-sikkerhedsproblemer. De to områder bør derfor fremover være fokusområder for alle virksomheder – også de små og mellemstore.
Risikovurdering kan være lidt kompliceret, og skal foretages i tre faser:
1. Kortlæg risiko
Først skal det vurderes, hvor vidt der er fx risiko for…
- hændelig eller ulovlig tilintetgørelse af personoplysninger
- tab eller ændring af personoplysninger
- uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
- det kan fx være mails sendt til en forkert modtager med den konsekvens, at der sker…
- identitetstyveri eller -svig
- skade på omdømme
- forskelsbehandling
- økonomiske tab
- tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt
- uautoriseret ophævelse af pseudonymisering
- forhindring i udøvelse af kontrol med sine personoplysninger eller
- andre betydelige økonomiske eller sociale konsekvenser
For revisorer, advokater og andre omfattet af tavshedspligt gælder specifikt, at de er forpligtet til at vurdere, hvilke risici der er forbundet med tavshedspligten, herunder om der er risiko for, at de indsamlede oplysninger er forkerte, eller om der er risiko for, at manglende underretning vil kunne skade den registrerede.
2. Kategorisering af risikoen
Dernæst skal hver risiko tildeles en score (høj, mellem eller lav) ud fra sandsynlighed og alvorlighed (konsekvens) bl.a. vurderet ud fra…
- kategorien af personoplysninger
- almindelige, følsomme eller fortrolige personoplysninger?
- sker der automatisk profilering eller automatiserede afgørelser?
- hvor stort et omfang har oplysningerne?
- den sammenhæng oplysningerne behandles i
- fx kobling af personnavn og adresse i et fængsel eller en institution
- formålet med behandlingen af data
3. Vurdering af tekniske og organisatoriske foranstaltninger
Sidst skal det vurderes, hvilke tekniske og organisatoriske foranstaltninger, der er passende for at minimere risici inkl. dokumentation for, at foranstaltningerne er gennemført. Eksempler er…
Firewall | Der er etableret og løbende vedligeholdt en firewall, som sikrer gennemførelse af virksomhedens sikkerhedspolitik, herunder fx spærring for adgang til suspekte hjemmesider. |
Opdateringer | Servere og computere ajourføres løbende med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer. |
Antivirus | Der er etableret et virusværn, som løbende holdes ajour. |
Internet og e-mail | Opsætning af sikkerhedsindstillinger i browsere og e-mail programmer på alle computere er etableret, så der opnås den ønskede sikkerhed omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins mv.). |
Overførsel af følsomme data | Alle følsomme persondata inkl. CPR-numre krypteres ved overførsel via internettet. Kryptering omfatter også overførsel af data hvor opbevaring og/eller behandling foregår efter tilladelse fra Datatilsynet. Dette gælder også overførsel af evt. login oplysninger. |
Hjemmesider / kryptering | Kommunikation via hjemmesider hvor der benyttes persondata sikres ved hjælp af SSL-kryptering el.lign. Der er mulighed for at implementere forskellige grader af kryptering inkl. såkaldt “stærk kryptering” (128 bit SSL/TLS-forbindelse). Hvis brugere via hjemmesiden får adgang til personoplysninger (fx om sig selv), er det sikret, at oplysningerne ikke udleveres til uvedkommende – enten via kryptering eller pinkode/digital signatur. |
Logning | Det registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, blokeres der for yderligere forsøg. |
Fjernadgang | Der er dobbelt logon (2-faktor) ved fjernadgang til virksomhedens IT-systemer. |
Sletning | Der udføres løbende kontrol med sletning af personoplysninger ud fra beskrivelsen i den Interne Fortegnelse. |
Adgang | Systemer sættes op, så ansatte kun har adgang til de personoplysninger, som de har brug for i forbindelse med løsning af deres arbejdsopgaver. |
IT Værktøjer | Systemet sættes op, så det er let for de ansatte at arbejde med kryptering af følsomme personoplysninger og personnumre. |
Backup | Der foretages jævnligt backup, der gemmes på andre medier eller miljøer end produktion, som fx bånd, eksterne backup lokationer ol.lign. pseudonymisering og kryptering af personoplysninger. |
Medarbejderinstruks | En meget detaljeret medarbejderinstruks, der gennemgås jævnligt med alle medarbejdere. |
GDPR-reglerne stiller store krav – også til små virksomheder. Så husk at gemme sikkerhedsvurderingen, så det kan dokumenteres at den er foretaget, og de nævnte sikkerhedsforanstaltninger er gennemført.
God arbejdslyst!