Skip to main content

Personoplysninger vs. følsomme persondata

GDPR, CCPA, PIPL, CPRA og andre regler om beskyttelse af privatlivets fred skelner klart mellem personoplysninger og følsomme persondata. Men hvordan kan I identificere og beskytte de personlige og følsomme data, som jeres virksomhed gemmer?

Personally Identifiable Information (PII)

Personlige identificerbare oplysninger (PII) har en ret bred definition og henviser normalt til oplysninger, der alene eller i kombination med andre oplysninger vil gøre det muligt for nogen at identificere en person med rimelig sikkerhed, og omfatter ting som navn, fødselsdato eller e-mail.

Følsomme persondata

Følsomme personoplysninger er et mere specifikt sæt af kategorier, som skal behandles med større forsigtighed, da eksponering af dem kan forårsage en person betydelig økonomisk eller personlig skade.

Eksempler på følsomme oplysninger er en persons finansielle og helbredsmæssige oplysninger, race eller etnisk baggrund, politiske holdninger, religiøse eller filosofiske overbevisninger, medlemskab af en fagforening, seksuelle forhold eller seksuel orientering, genetiske data og biometriske data.

Følsomme forretningsdata

Vi bør også nævne følsomme forretningsdata. Selv om de regler, der beskytter dem, kan være forskellige, bør denne type data også beskyttes omhyggeligt. Følsomme forretningsoplysninger kan omfatte intellektuelle ejendomsrettigheder, forretningshemmeligheder, planer om en fusion eller andre data, som ville have en negativ indvirkning på virksomheden, hvis de faldt i hænderne på en konkurrent.

Hvor mange følsomme data gemmer I?

Hvis I ikke er sikker på, om I har følsomme persondata i jeres systemer, hvor de er, eller hvor meget af dem du gemmer, bør I finde ud af det hurtigst muligt.

Søg i filer

Hvordan kan andre få adgang til en persons følsomme personlige oplysninger?

Menneskelige fejl

Databrud kan være enkle og utilsigtede. En af jeres medarbejdere kan f.eks. efterlade følsomme filer ulåst, deres bærbare computer åben, miste den eller lække deres adgangskoder. De kan sende følsomme data i en ubeskyttet e-mail/besked eller sende den til den forkerte person. Men menneskelige fejl er ikke den eneste fejlkilde. Følsomme data er også et yndet mål for cyberangribere.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Cyberangreb

    Tag f.eks. phishing, et social engineering-angreb, der bruges til at stjæle brugerdata, og som bliver mere og mere almindeligt. Angriberen, der udgiver sig for at være en betroet enhed, narrer et offer (som kan være dig eller en af jeres medarbejdere) til at åbne en e-mail, en chat- eller sms-besked eller en sms. Beskeden kan narre jer til at afsløre følsomme virksomhedsoplysninger, eller den kan automatisk installere skadelig software på jeres systemer (som f.eks. ransomware).

    Ransomware-angreb låser jeres programmer, og udsætter jer og alle de personlige data, I gemmer, for angreb.

    Når de først har fået adgang til følsomme data som bankkonto- eller kreditkortnumre, personlige helbredsoplysninger, personnumre osv., kan cyberkriminelle gøre en verden af skade på jer og jeres kunder. De kan nemt åbne en kreditlinje i en andens navn, tomme bank- eller aktiekonti og meget mere.

    Tyv stjæler data

    Hvad sker der, hvis følsomme data bliver krænket?

    Konsekvenserne af et databrud med følsomme oplysninger for virksomheder vil også variere og kan være relativt små til katastrofale, afhængigt af mængden af lækkede data, deres følsomhed og jeres virksomheds grad af uagtsomhed.

    I nogle tilfælde er virksomhederne blevet pålagt at betale adskillige millioner dollars i erstatning til kunder og finansielle institutioner. Små og mellemstore virksomheder er de mest sårbare. Da mindre organisationer har højere omkostninger i forhold til deres størrelse end større organisationer, er deres evne til at komme sig økonomisk efter et brud på datasikkerheden større.

    Ud over betydelige økonomiske sanktioner vil virksomheder, der er fundet i strid med reglerne, skulle bruge penge på at reagere på og komme sig efter overtrædelsen, og de vil også lide skade på deres omdømme blandt interessenter og kunder. Kundeomsætning, driftsforstyrrelser og systemnedbrud vil øge de store omkostninger ved et brud på datasikkerheden.

    Organisationer har i dag omkring 30% risiko for at blive udsat for et databrud inden for to år. Det er umuligt at garantere, at dette ikke vil ske for jeres virksomhed, men der er meget, I kan gøre for at forhindre det og samtidig udvise “god tro”, når I håndterer andres personlige data, hvilket minimerer det potentielle ansvar.

    Ved at have systemer og processer på plads til at spore og beskytte følsomme data (og dokumentere disse processer) kan I vise myndigheder og andre, at jeres virksomhed har gjort alt, hvad der kræves for at sikre sikkerheden af folks følsomme data, og det kan mindske jeres virksomheds ansvar i tilfælde af et databrud.

    Gør dette for at beskytte jeres følsomme data

    Et værktøj til data discovery kan hjælpe jer med at organisere jeres filer samt mail og beskytte de følsomme personoplysninger, I råder over. Det kan hjælpe jer med følgende:

    Find ud af, hvor alle jeres data er gemt

    Klassificer data efter deres følsomhed/risikoniveau, type og format

    Vælg og implementer effektive og kompatible sikkerhedskontroller

    Opret nøjagtige databeskyttelsesvurderinger

    Rapportér brud på persondatasikkerheden og sikkerhedshændelser til tiden

    Overvåg løbende jeres risikoniveau og vurder effekten af jeres databehandlingsaktiviteter

    Gem dokumentation og opret revisionsrapporter for at overholde andre lovkrav

    Vi har udviklet data discovery-værktøjet DataMapper til nemt at finde, kortlægge og løbende overvåge følsomme data?

    Lær mere om DataMapper →

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR