Hvad er datafortrolighed?
Datafortrolighed dækker over, at personlige data, forretningshemmeligheder og andre private oplysninger holdes fortrolige og beskyttes mod uautoriseret adgang. Denne artikel vil fokusere på fortroligheden af personoplysninger (PII eller PI).
Definition af datafortrolighed i GDPR
I henhold til GDPR’s princip om integritet og fortrolighed skal I sikre, at I har passende sikkerhedsforanstaltninger på plads for at beskytte de personoplysninger, som I råder over.” Det er dette GDPR-princip, der vedrører datasikkerhed mest.
Fortrolighed af data og din virksomhed
GDPR angiver ikke præcist, hvilke sikkerhedsforanstaltninger man skal tage. Det skyldes, at teknologi og procedurer ændrer sig konstant.
Lige nu udgør kryptering og/eller pseudonymisering og anonymisering af personoplysninger tekniske foranstaltninger, som man kan bruge til at beskytte datafortroligheden.
Rettigeder om, hvem der kan få adgang til hvad, og medarbejder-uddannelse, der omfatter at beskytte af adgangskoder, arbejdsenheder og e-mails, er nogle af de organisatoriske foranstaltninger, I bør tage.
Få en GRATIS licens til ShareSimple i dag!
Tjekliste for datafortrolighed
Her er en liste af ting, I kan gøre lige nu for at sikre datafortrolighed:
1. Afgør, hvem der skal have adgang til personoplysninger
Det er ikke alle i jeres virksomhed, der har brug for adgang til alle andres personlige oplysninger. Kontroller adgangen til kunder, medarbejdere og partneres personlige oplysninger, især deres følsomme personlige oplysninger. Jo færre personer der har adgang til data, jo mindre er risikoen for et databrud.
2. Brug kryptering og adgangskoder
Ved kryptering anvendes algoritmer til at gøre data ulæselige i hvile eller under overførsel. Stærke adgangskoder beskytter data mod uautoriseret adgang. Sørg for at ændre adgangskoder regelmæssigt.
3. Pseudymisere data
Pseudonymisering betyder, at personoplysninger behandles på en sådan måde, så disse oplysninger ikke længere kan henføres til en bestemt person, uden brug af yderligere oplysninger. Pseudonymiserede data tæller stadig som personoplysninger i henhold til GDPR, men pseudonymisering giver en vis beskyttelse og anses i nogle tilfælde for at være en passende sikkerhedsforanstaltning.
4. Anonymisere eller slette data, som I ikke længere bruger
Anonymiserede personoplysninger kan ikke længere på nogen måde forbindes med en identificeret eller identificerbar person. De betragtes ikke længere som personoplysninger. I bør slette eller anonymisere personoplysninger, når der ikke (længere) er noget lovligt formål med at opbevare dem på en måde, der gør det muligt at identificere en person.
5. Fastsæt en fortrolighedspolitik
Indfør en datafortroligheds-politik – en liste med instruktioner om, hvordan medarbejderne skal håndtere fortrolige data for at sikre deres beskyttelse. Sørg for, at alle forstår, hvad de skal gøre med personlige data. Det sparer tid og mindsker risikoen for almindelige fejl, der kan medføre databrud. Jeres politik for datafortrolighed er til intern brug, men den skal være i overensstemmelse med jeres offentlige politik for beskyttelse af personlige oplysninger. Den bør omfatte:
- Hvilke typer data I vil acceptere/indsamle fra personer
- Sådan kan I bruge det
- Hvem I kan dele den med
- Hvordan I vil beskytte den
- Hvor længe I kan beholde den osv.
Software til beskyttelse af fortrolige data
Software til datafortrolighed kan hjælpe jer med at finde ud af, hvem der har adgang til hvilke data, beskytte data i hvile og under overførsel, forbedre jeres politikker og meget mere.
Sebastian Allerelli
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
