GDPR’s effekt på din IT-sikkerhed

Siden EU’s GDPR trådte i kraft i maj, har den været et uundgåeligt emne i enhver snak om IT-sikkerhed og organisationsprocesser. Her bliver der oftest snakket om den ekstra arbejdsbyrde som persondataforordningen har forårsaget og ikke dens mulige positive effekter. I denne blogpost vil vi derfor fokusere på og udforske hvordan GDPR indtil videre har påvirket IT-sikkerhed, og hvorvidt dette har været positivt eller negativt.  

 

Eftersom at både GDPR og IT-sikkerhed i sidste ende handler om behandling af data, er det klart, at indførelsen af den nye lovgivning har haft en effekt på den globale IT-sikkerhed. Denne effekt har indtil videre været både positiv og negativ. Et eksempel på en negativ effekt er IT-kriminelle, som udnyttede forvirringen omkring GDPR til at lokke folk i fælder, de normalt ikke ville falde i. Her har vi f.eks. set phishing-forsøg, hvor bagmændene udnytter den store mængde GDPR-relaterede e-mails til at lokke informationer ud af deres ofre. Det er dog en smule uretfærdigt at give GDPR skylden for phishing, da det jo allerede var et stort problem inden. Hvis du er mere interesseret i phishing kan du læse mere om denne udfordring i denne blogpost.  

 

En anden meget omdiskuteret effekt ved persondataforordningen er introduktionen af massive bøder ved usikker behandling af persondata. Selvom, at vi endnu ikke har set en af disse bøder blive udstedt, forventes det, at de første bøder kommer inden dette år er omme. Det er blandt andet disse bøder, og især deres størrelser, som har motiveret virksomheder til at stræbe efter compliance. Inden GDPR havde usikker behandling af data også konsekvenser, som f.eks. tab af omdømme, tab af data og i nogle tilfælde økonomiske tab, men denne nye konsekvens, GDPR’s massive bøder, var åbenbart det der skulle til for, at virksomheder tog sikker databehandling alvorligt.  

  

GDPR har altså tvunget virksomhederne til at tage behandling af vores data alvorligt, og det må man sige er en positiv effekt. Denne jagt på compliance har dog også haft nogle negative konsekvenser. I en rapport af McKinsey fra Maj 2018 nævnes det, at mange virksomheder i deres forsøg på at nå at blive compliant inden GDPR’s indførelse, har benyttet sig af manuelle systemer. Her konkluderes der, at virksomhederne for at forblive compliant, bliver nødt til at udskifte disse manuelle systemer med automatiske systemer, da de manuelle kræver for mange ressourcer på lang sigt. Lovgivningens stramme krav og skarpe deadline har altså tvunget virksomhederne til at bruge manuelle ”lappeløsninger”, som på lang sigt potentielt kan skade deres IT-sikkerhed og compliance. 

 

For at opsummere har indførelsen af persondatafordningen indtil videre haft disse effekter: 

  • Forvirring omkring hvad loven egentligt kræver, som er blevet udnyttet af IT-kriminelle  

  • Et øget fokus på IT-sikkerhed, som nogen mener vil forårsage et generelt løft indenfor IT-sikkerhed  

  • Større motivation for at behandle data sikkert igennem truslen om massive bøder  

  • Stress omkring at opnå compliance, som i nogen tilfælde har gjort at organisationer har benyttet sig af lappeløsninger 

Alt i alt kan man konkludere at GDPR indtil videre har skabt et større fokus på IT-sikkerhed i det offentlige rum, hvilket i sig selv er en positiv udvikling. 

 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Kend dine persondata

Siden persondataforordningens indførelse i maj har persondata været et populært buzzword. Jeres medarbejdere ved derfor nok godt, hvor vigtigt det er at håndtere persondata sikkert, men måske ikke hvordan man egentligt gør det? I vores tidligere blogpost ”Persondata for begyndere” fortalte vi lidt om, hvordan man sikkert håndterer persondata, og i denne blogpost vil vi uddybe, hvad persondata er for noget, hvilke typer der er og hvordan man håndterer situationer, hvor typerne blandes.   


Persondata helt kort 


Persondata kan helt kort forklares som oplysninger, der kan bruges til at identificere en specifik person. Det kan altså være informationer som f.eks. navn, adresse, nummerplade, en jobansøgning eller et billede af en tatovering. Det bliver derfor en meget bred betegnelse og derfor er disse oplysninger kategoriseret som enten almindelige eller følsomme persondata.  



Følsomme persondata 


Hvis en personoplysning kategoriseres som følsom, kræver persondataforordningen en langt strengere håndtering og derfor også en større konsekvens ved usikker håndtering. Derfor er det vigtigt at jeres medarbejdere kan identificere følsomme persondata og udvise ekstra forsigtighed. Alle følsomme persondata indgår under en af de følgende kategorier: 


  • Race eller etnisk oprindelse 

  • Politisk, religiøs eller filosofisk overbevisning 

  • Fagforeningsmedlemsskab 

  • Genetiske data/Biometriske data (F.eks. fingeraftryk) 

  • Helbredsoplysninger 

  • Seksuelle forhold/orientering 


For mange vil disse kategorier virke åbenlyse, men på samme tid er der også overraskende eksempler, som f.eks. at et CPR-nummer ikke anses for at være følsom. CPR-nummeret hører til en tredje kategori nemlig fortrolige personoplysninger, som selvom de ikke anses for følsomme persondata ofte har særskilte regler for, hvordan de skal behandles.   


Blandet persondata 


Med to kategorier af persondata og en ekstra med særskilte regler kan det virke uoverskueligt at leve op til kravene i persondataforordningen. Ofte kan man dog, hvis man er god til at genkende følsomme persondata, hurtigt finde ud af hvordan oplysningerne skal behandles. Her kan man tage et CV som eksempel. Størstedelen af informationerne i et CV kan kategoriseres som almindelige personoplysninger. Dette er oplysninger som f.eks. navn, adresse, telefonnummer, alder, erhvervserfaring. På samme tid kan nogle uddannelses- og ansættelsesmæssige forhold også anses som fortrolige oplysninger. En huskeregel til jeres medarbejdere er, at man i en sådan situation skal starte med at lede efter følsomme persondata. Hvis man finder bare et enkelt eksempel på en sådan information, skal hele CV’et behandles som følsomme persondata, og man undgår derved at skulle forholde sig til hver personoplysning for sig.  



Håndtering af persondata 


Alt efter hvilken kategori en personoplysning tilhører, indeholder persondataforordningen også regler for, i hvilke situationer de må behandles. I denne blogpost vil vi ikke gå i dybden med disse regler, men hvis du er interesseret, kan du læse meget mere om dem på Datatilsynets hjemmeside. Ansvaret for at disse regler følges ligger i udgangspunktet hos jeres organisations dataansvarlige, og det er også derfor den person, jeres medarbejdere skal spørge om råd, hvis de er i tvivl om, hvorvidt de må behandle en specifik personoplysning. Det kan dog være en god idé for alle at besøge Datatilsynets hjemmeside og læse reglerne både for at sikre, at man ikke selv bryder reglerne, men også så man kan genkende, hvis andre behandler ens persondata i en situation, hvor de ikke har ret til det.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.