Skip to main content

Derfor bør I finde jeres følsomme data

Er I en af de virksomheder, der indsamler og opbevarer en overflod af følsomme oplysninger om jeres kunder hver dag? Og har I problemer med at finde disse persondata? En skødesløs indsats med at finde og beskytte følsomme persondata kan gøre et databrud ekstra dyrt. Ifølge IBM’s artikel Cost of a Data Breach Report var den gennemsnitlige pris for et databrud $4,24 millioner (over 3 milliarder DKK) i 2021. Tallet ventes at stige til USD 4,35 millioner i 2022.

Hvis I er som de fleste virksomheder, er de personlige og følsomme data, I har indsamlet om kunder og andre, spredt ud over mange systemer og medarbejdere. I bør hurtigst muligt få lavet en ordentlig opgørelse over alle disse data. Dette er en omfattende opgave, men det er om ikke andet en særdeles vigtig opgave.

Når I laver en data-opgørelse, bør I stille jer selv disse spørgsmål:

  • Hvad skal vi præcist lede efter
  • Hvor er der risiko for at den følsomme data kan ligge
  • Hvilken metode skal vi vælge til at finde dataen
  • Hvad skal vi gøre for at overholde reglerne om beskyttelse af personlige oplysninger

Identificer jeres følsomme data

En persons følsomme data bør have særlig beskyttelse. Dette er en særlig kategori af personoplysninger. Hvis en persons følsomme data skulle falde i de forkerte hænder, ville det krænke denne persons privatliv og kunne forårsage skade.

Databeskyttelsesforordninger er designet til at beskytte folks data, og de er særligt strenge, når det kommer til “følsomme data”. Globale regler kan variere lidt i deres definition af følsomme persondata, men det er sikkert at sige, at følsomme data vil omfatte ting som:

  • Medicinsk historie
  • Økonomisk information
  • ID-numre
  • Race eller etnisk baggrund
  • Politiske meninger
  • Religiøse overbevisninger
  • Filosofiske overbevisninger
  • Politiets optegnelser
  • Medlemskab af en fagforening
  • Sexliv eller seksuel orientering
  • Genetiske data og biometriske data og mere…

Medarbejderne i jeres virksomhed vil potentielt indsamle følsomme data ved mange forskellige typer af interaktioner med omverden.

Eksempler:
  • Jeres websted indsamler kreditkortoplysninger i købsprocessen
  • En person deler tilfældige private oplysninger med en af jeres kundeservice-medarbejdere på mail
  • Jeres HR-afdeling indsamler politijournaler (og meget mere!) fra potentielle medarbejdere

I denne forbindelse, er I nødt til at vide, hvor alle følsomme data opbevares. Hvis nogen af disse data skulle blive afsløret, kan I få et alvorligt problem, der kan koste jer bøder, og endda lukke jeres virksomhed ned.

Lav en liste over jeres data-lokationer

Hvor gemmer I de data, I indsamler? Her er et par typer placeringer, der skal kontrolleres for følsomme data:

  • Lokale drev
  • Netværksdrev
  • Cloud-lagring
  • E-mail
  • Online tjenester
Find sensitive data across many locations

De fleste virksomheder bruger ikke kun ét cloud-lager, og de fleste medarbejdere bruger ikke altid deres arbejdscomputer eller e-mail. Derfor bliver listen over data-lokationer, I skal tjekke for følsomme data, hurtigt meget lang.

Vil du have den seneste viden om at håndtere persondata?

Skriv dig op til vores nyhedsbrev her

    Vælg jeres metode til datalagring

    Når I har kortlagt jeres data-lokationer ved I, hvad I skal søge efter, og hvor I kan finde det. Arbejdet er dog kun lige begyndt, for nu skal rent faktisk til at finde jeres data, og her det det afgørende, at I vælger den rigtige metode. I skal nemlig være sikre på, at I identificerer hvert id-nummer, kreditkortnummer, medicinsk tilstand, politisk holdning osv., der har fundet vej til jeres data-lokationer, men oprydningen skal stadig gøres inden for en realistisk tidsramme.

    Der er grundlæggende tre metoder til at finde jeres følsomme personoplysninger:

    • Gør-det-selv: Udpeg en medarbejder fra jeres virksomhed til at finde filerne. Denne mulighed er dyr, fordi den er så tidskrævende. Den indebærer også en stor risiko for fejl. Og processen kan udsætte jer for databrud i sig selv, hvis det ikke udføres korrekt.
    • Brug en service: At hyre en datasøgnings-tjeneste til at finde jeres følsomme filer er en anden mulighed, men det eliminerer stadig ikke risikoen for menneskelige fejl. Plus det koster kassen.
    • Brug et smart-værktøj: Et smart Data Discovery-værktøj til automatisk at finde følsomme data i jeres systemer er en nem og omkostningseffektiv måde at få ryddet op i jeres filer med følsomme oplysninger.
    DataMapper can find your company's sensitive data

    Dette skal I gøre, når I har jeres dataopgørelse

    Nogle virksomheder tøver med at udføre rydde op i deres data, fordi de er bange for de problemer, de måtte finde. Men bare dét at begynde på oprydningen vil give jer en kæmpe fordel, hvis I bliver revideret af myndighederne, da synlighed og dokumentation er en vigtig del af compliance. Og hvis I er udsat for et hackerangreb, vil en data-oprydning hjælpe jer med at gemme værdierne – i dette tilfælde følsomme persondata – af vejen.

    Her er et par ekstra ting, I kan gøre, når I har udført jeres data-oprydning:

    • Sørg for, at I har samtykke eller et andet lovligt grundlag for at opbevare data, I gemmer
    • Slet følsomme data, I ikke længere bruger, eller hvis I ikke har et juridisk grundlag til at opbevare dem
    • Begræns adgangen til visse filer til kun dem, der har brug for det
    • Beskyt følsomme data i hvile og under transport

    Sidste trin: Lav en Data Protection Impact Assessment (DPIA)

    Den indsigt I får fra jeres data-oprydning, vil også gøre det nemt at udarbejde en såkaldt DPIA, der er en tekst, som fastsætter, hvordan I beskytter jeres data. Vi vil mere udførligt vejlede i, hvordan man udarbejder en DPIA i en anden artikel. Men grundlæggende kan en DPIA laves ved at svare på følgende spørgsmål:

    • Behandler I persondata?
    • Behandler I følsomme data?
    • Behandler I data om mindreårige/børn?
    • Har I et lovligt grundlag (normalt samtykke) for at behandle dataene?
    • Hvad bruger I dataene til?
    • Deler eller sælger I data?
    • Hvilken potentiel skade ville være forårsaget af datalæk?
    • Hvem har adgang til dataene?
    • Hvordan beskytter I data?
    • Hvornår sletter I data?

    Disse svar vil også hjælpe jer med at forbedre jeres privatlivspolitik – et andet nøgleelement i overholdelse af GDPR.

    Sådan kan vi hjælpe jer

    Med et smart Data Discovery-værktøj kan I let finde jeres følsomme persondata. DataMapper er et browserbaseret dataopdagelsesværktøj, der bruger AI (Artificial Intelligence) og ML (Machine Learning) algoritmer til at finde personligt identificerbare oplysninger på tværs af virksomhedens medarbejdere, cloud storage, e-mails, systemer og apps.

    I skal bare åbne DataMapper i jeres browser, vælge de lagersteder, I vil søge efter, og invitere medarbejdere til at deltage. DataMapper scanner dine placeringer og genererer derefter en liste over alle risikofiler, der indeholder følsomme data, organiseret efter risikoniveau og kategori. En administrator kan gennemgå alle resultater fra deres dashboard og risikodokumenter faner, mens hver bruger kan gennemgå kun deres egne resultater for at forbedre deres praksis.

    Læs mere om DataMapper her 

    Sebastian Allerelli

    Specialist i Ledelse, Risiko og GDPR