Tekniske og organisatoriske tiltag til at beskytte persondata

GDPR placerer opgaven med at beskytte folks personlige data hos de virksomheder, der indsamler og opbevarer oplysningerne. Forordningen specificerer dog ikke nøjagtigt, hvilke foranstaltninger man som virksomhed skal tage for at holde persondata sikre og klar til GDPR-revision. I stedet fortæller den gentagne gange virksomheder at man kan holde data sikre med passende tekniske og organisatoriske tiltag. Disse tekniske og organisatoriske tiltag forkortes nogle gange TOM (Technical & Organisational Measures).

GDPR nævner passende tekniske og organisatoriske foranstaltninger hele 92 gange på tværs af sine mange artikler, men uden at gå i dybden med dem. Denne tvetydighed i sproget omkring TOM’er lader det være op til jeres virksomhed at beslutte, hvad der er de rigtige sikkerhedsforanstaltninger for jer. Til gengæld vil Datatilsynet have det endelige ord for, om jeres tiltag er tilstrækkelige.

De bedste måder at beskytte data på kan naturligvis variere afhængigt af jeres virksomhed, og hvordan I indsamler og bruger data. Desuden kan bedste praksis hurtigt ændre sig, når nye teknologier (og nye trusler) dukker op. Selv om Datatilsynet give en vis frihed på dette område, vil de ikke tolerere mangel på sikkerhed og forberedelse. Så lad os tale om de tekniske og organisatoriske tiltag I kan tage for at beskytte persondata, og hvordan man vælger de rigtige.

Tekniske foranstaltninger omfatter al den sikkerhed, man opretter ved hjælp af værktøjer, software og hardware. Her er et par almindelige tekniske foranstaltninger til at beskytte personlige data, som I kan indføre som virksomhed:

• Kryptering
• Firewalls
• Antivirus-software
• Adgangskoder og adgangskodeadministratorer
• Sikkerhedskopiering og opdatering af systemet
• To-faktor-godkendelse
• Pseudonymisering af personlige data
• Alarmer og låse på kontor, skrivebord, fysiske filer eller enheder

Først skal I foretage en risikovurdering for at afgøre, hvor sofistikerede jeres tekniske foranstaltninger skal være. Tag højde for mængden af personlige data, I indsamler og gemmer, hvor følsomme de er, og hvor længe I opbevarer dem. Selvfølgelig skal I også tage hensyn til jeres budget. For eksempel skal en lille tømrervirksomhed kun gemme grundlæggende kundeoplysninger for at kunne levere tjenester til dem. Derfor vil de ikke have brug for (og sandsynligvis heller ikke råd til) den samme teknologi som store virksomheder, læger eller finansielle institutioner, der indsamler meget følsomme data. Men alle virksomheder har brug for sikkerhedsværktøjer, der i et eller andet omfang dækker ovenstående områder.

Organisatoriske foranstaltninger omfatter alle virksomhedens politikker, praksisser og procedurer, der beskytter data. Her er nogle organisatoriske foranstaltninger, I kan bruge til at beskytte personlige data:

• Awareness-træning af medarbejdere
• Opdatering af privatlivspolitikker
• Udførelse af risikovurderinger (DPIA’er)
• Udarbejdelse og håndhævelse af politikker for dataopbevaring
• Gennemførelse af stærke adgangskontrolpolitikker
• Selvrevision og overvågning af lager og systemer
• Vanebaserede procedurer som at lukke og slukke computere

Bemærk, at I også kan bruge teknologi til at planlægge, automatisere og overvåge denne praksis. På samme måde bør jeres politikker og jeres awareness-træning dække, hvordan I bruger og vedligeholder jeres sikkerhedssoftware korrekt. Derfor er det rimeligt at sige, at der er en fin grænse mellem, hvilke foranstaltninger der er tekniske, og hvilke der er organisatoriske.

Tilsammen skal jeres tekniske og organisatoriske foranstaltninger dække følgende områder for at opfylde GDPR:

• Forhindre tab og ødelæggelse af personlige data.
• Begræns de personlige data, du indsamler, til kun det nødvendige.
• Hold personlige data sikre og tilgængelige for dem, der har brug for dem, og ingen andre.
• Gøre personlige data ulæselige for uautoriserede personer, der tilgår dem.
• Beskytte folks rettigheder (f.eks. når de anmoder om adgang til data).
• Gendanne personlige data i tilfælde af en fysisk eller teknisk hændelse.
• Giver jer mulighed for regelmæssigt at gennemgå, vurdere og evaluere jeres egen praksis.

Sørg for, at jeres tekniske og organisatoriske sikkerhedstiltag dækker ovenstående områder på en måde, der passer til jeres virksomhed og jeres databehandlingsaktiviteter. Derudover skal I dokumentere de tiltag, I bruger. Det viser, at I overholder reglerne, og det kan reducere ansvaret, hvis I bliver offer for et hackerangreb eller kommer til at eksponere personlige data.

Når I vælger, hvilke tekniske og organisatoriske foranstaltninger der er de rigtige for jeres virksomhed, skal du overveje:

• Hvor mange personlige data I gemmer
• Oplysningernes niveau af følsomhed og risiko
• Hvor længe gemmer I personlige data
• Jeres virksomheds budget og ressourcer

Hos Safe Online udvikler vi værktøjer til at overholde GDPR, og beskytte data med følsomt indhold. I bund og grund er de tekniske og organisatoriske tiltag der forenkler og automatiserer jeres vigtigste GDPR-opgaver.

1. Værktøj til at overvåge data med følsomt indhold i jeres datasystemer.
2. Værktøj til sikker datadeling
3. Værktøj til at håndtere DSAR’er

Hvis I har spørgsmål om, hvilke tekniske og organisatoriske foranstaltninger der er de rigtige for jeres virksomhed, hjælper vi jer gerne med en gratis analyse af jeres virksomheds behov.