4 Huskeregler til at Håndtere Sikkerhedsbrud

Over de sidste år er mængden af IT-angreb steget, hvilket betyder, at vi bliver nødt til at have en plan for hvordan vi håndterer sikkerhedsbrud. Derfor vil vi i denne blogpost gennemgå, hvordan i skal forholde jer til begrebet sikkerhedsbrud og hvordan i som organisation kan forberede jeres medarbejdere på sådanne brud. 



Hvad er et sikkerhedsbrud egentlig? 


Et sikkerhedsbrud er helt kort en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret. Det er altså et brud, så snart vi ved, at nogen uvedkommende har haft adgang til vigtige data eller systemer. Et sikkerhedsbrud er altså ikke kun de store skandaler vi kender fra medierne, men også situationer hvor der f.eks. er forsvundet en mappe med vigtige papirer eller en e-mail, der er blevet sendt til den forkerte modtager. Ofte rapporteres disse mindre sikkerhedsbrud ikke, hvilket kan skabe en sårbarhed i jeres virksomhed.  Dette er bekymrende, da antallet af IT-angreb er stigende, hvilket ses på grafen herunder.


 

4 Vigtige Huskeregler 


Det er selvfølgelig altid målet helt at undgå sikkerhedsbrud, men når uheldet er ude, er det vigtigt at have etableret en proces til at håndtere sådanne brud. Til at håndtere sådanne sikkerhedsbrud sikkert har vi lavet disse fire huskeregler:  



  1. Et sikkerhedsbrud er en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret.  

  2. Hvis sikkerhedsbruddet involverer persondata, stiller persondataforordningen krav om, at organisationen skal følge bestemte regler.  

  3. Du skal altid indberette et sikkerhedsbrud. Så kan hændelsen stoppes og sikkerheden forbedres.  

  4. Det er vigtigt, at du ved, hvem du skal rapportere et sikkerhedsbrud til. Det kan være en DPO (Data Protection Officer), den IT-ansvarlige eller lignende.  


Hvorfor rapporteres disse brud ikke? 


I nogle situationer rapporteres sådanne brud ikke af den simple grund, at medarbejderen ikke ved, at det de står overfor, kvalificerer sig som et sikkerhedsbrud. Sådanne situationer, hvor det er viden der er mangelvaren, kan løses igennem undervisning. Her er awareness-træning et åbenlyst bud.  



I andre situationer rapporteres et brud ikke af den simple grund, at medarbejderen er bange for de konsekvenser, det kan have. Disse situationer er sværere at undgå, da de kræver, at organisationen skaber en kultur, hvor ærlighed i sådanne situationer vægtes tungere end fejlen i sig selv.  



Til sidst ses også situationer, hvor en organisation administrativt vælger ikke at rapportere for ikke at undgå den dårlige omtale, som sådan et brud fører med sig. Udover at man her risikerer endnu dårligere omtale, hvis det opdages, at man har forsøgt at feje et brud under måtten, er der med den nye persondatalov også mulighed for store bøder.  



Konsekvenser ved et sikkerhedsbrud 


Som vi lige har pointeret, dækker begrebet sikkerhedsbrud bredt og derfor er det også naturligt at et sikkerhedsbrud kan have mange forskellige konsekvenser. Et sikkerhedsbrud kan f.eks. godt være helt uden konsekvenser i situationer, hvor uvedkommende har haft adgang til data, men ikke har udnyttet det. Dette har dog ændret sig efter GDPR, hvilket vi kommer ind på senere. I sådanne situationer er det dog stadig vigtigt at rapportere bruddet, da sikkerheden derved kan forbedres, og fremtidige sikkerhedsbrud kan undgås. I mindre heldige situationer kan konsekvenser være alt fra dårligt omdømme til store finansielle tab. Når uheldet er ude og vi oplever et sikkerhedsbrud kan ordentlig håndtering hjælpe os med at minimere disse konsekvenser.  



GDPR og Sikkerhedsbrud 


Med den nye persondataforordning, GDPR, følger der også nye krav til hvordan sikkerhedsbrud håndteres. Hvis persondata er blevet kompromitteret i et sikkerhedsbrud, har man som organisation 72 timer til at rapportere det. Hvis rapporteringen sker senere end dette, skal man som organisation kunne argumentere for hvorfor dette er sket. Udover dette skal der vurderes, hvorvidt de kompromitterede data skaber en risiko for persondataens ejere. Hvis dette er sagen, skal disse underrettes så hurtigt som muligt. Et eksempel på dette er hvis jeres brugeres passwords eller kontooplysninger er blevet kompromitteret. Her skal denne datas ejere have denne information så hurtigt som muligt, så de kan sikre sig selv. Hvis man ikke når at rapportere et sikkerhedsbrud indenfor 72 timer og ikke kan argumentere tilfredsstillende for hvorfor dette ikke skete, kan man ende med at få en bøde på op til 2% af organisationens årlige globale omsætning. At have en plan for hvordan man håndterer sikkerhedsbrud er altså vigtigere end 

nogensinde før. 



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.     

5 trin til et stærkt password du kan huske

Hver dag bruger vi passwords til at logge ind på alt fra borger.dk til Facebook. Dette skaber et stort behov for, at man håndterer sine passwords sikkert, hvilket mange desværre ikke gør. Derfor vil vi i denne blogpost gennemgå, hvordan du kan lære dine brugere at bruge passwords sikkert, og hvorfor det er vigtigt.  



Hvorfor skal jeg have et stærkt password? 


Mange af os har nok ét password, som bliver brugt i lidt for mange forskellige situationer. Måske bliver det endda både brugt på arbejdet og i det private, men hvad er egentligt også problemet i det? Det har jo både tal, bogstaver og tegn, det er da et stærkt password? Måske er det rent faktisk et stærkt password, men når vi genbruger vores passwords, forøger vi risikoen for at blive ofre for IT-kriminalitet. IT-kriminelle ved nemlig godt, at mange genbruger deres passwords, så hvis de formår at trænge ind i bare én database, som f.eks. din lokale filmklub, prøver de sig frem med passwordet andre steder. Hvis man i en sådan situation har brugt det samme password til både arbejde og det private, har filmklubbens dårlige IT-sikkerhed, altså sat både dit arbejdes data og din egen persondata på spil. At genbruge passwords forværrer også konsekvenserne, hvis man f.eks. bliver offer for phishing, da den IT-kriminelle derved både har din e-mail og dit password.  


Ud fra en sådan situation virker det åbenlyst, at man ikke må genbruge passwords, men der er stadig mange der gør det. Der er endda mange som genbruger et password, som ikke engang er stærkt i sig selv, men hvorfor? Fordi det er let, og det er virker uoverskueligt at huske 16 passwords.  



Et stærkt password du kan huske 


For at gøre det lidt lettere har vi lavet en lille trinvis guide til, hvordan du kan lave stærke passwords, som på samme tid er lette at huske. 


Trin 1: 

Find på en sætning du kan huske, som f.eks: 

Jeg elsker at sejle 


Trin 2: 
Skriv første bogstav med stort: 

Jeg Elsker At Sejle 


Trin 3:  

Fjern mellemrummene: 

JegElskerAtSejle 


Trin 4: 

Indsæt et par tal: 

J3g3lskerAtSejle 


Trin 5: 

Insæt et specialtegn: 

J3g3lskerAtSejle! 



Voila! Et styks stærkt password er hermed lavet. Dette password må selvfølgelig ikke genbruges, men et godt tip til at kunne bruge det flere steder er, at indsætte noget i passwordet, som passer til siden hvor det bruges. F.eks. kunne man indsætte “FB” inden det sidste tegn, hvis man brugte koden på Facebook eller “GM” for Gmail. Så kunne koden altså se sådan ud: 


Facebook: J3g3lskerAtSejleFB


Gmail: J3g3lskerAtSejleGM


Med sådan et system er det mere overskueligt at håndtere sine passwords sikkert og samtidig kunne huske dem. Her kan det være en rigtig god idé at lave en sætning til arbejdsrelaterede logins og en anden til private logins, da det altid er god IT-sikkerhedskutyme at holde arbejdet og det private adskilt.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Data i “skyen”

 Flere og flere organisationer benytter sig af Cloud-tjenester til at opbevare og behandle deres data.  Dette er sket på grund af Cloud-tjenesters mange fordele, men det skaber også nye trusler inden for IT-sikkerhed. I denne blogpost vil der blive gennemgået, hvad man indenfor IT-sikkerhed skal være opmærksom på, når man benytter sig af en Cloud-tjeneste.



Helt kort kan en Cloud-tjeneste beskrives som en IT-service, der lader dig gemme data på servere, som en udbyder stiller til rådighed. Du kan herefter tilgå disse servere fra alle dine godkendte enheder, som hvis din data altid hang i en ”sky” over dig. Denne tanke om at din data er i en ”sky” kan dog let skabe en falsk følelse af sikkerhed i forhold til din datas sikkerhed, så det er vigtigt at huske, at dine data i virkeligheden bare er gemt på en computer i et datacenter.


Der er primært tre grunde til at bruge en Cloud-tjeneste:


  • Det gør det let for jeres medarbejdere at tilgå deres filer og samarbejde om fælles filer

  • Det gør det muligt for jer, som organisation, at styre hvordan jeres filer og data kan behandles og tilgås

  • Der bliver automatisk lavet backup af filerne, i tilfælde af at filerne kompromitteres lokalt


Med disse grunde kan man godt forstå at mange benytter Cloud-tjenester, men der er også udfordringer, som f.eks.:


  • I situationer uden internet er jeres data utilgængelig, med mindre den er blevet synkroniseret med jeres enheder

  • Uopmærksomme medarbejdere som tilgår filerne fra forskellige enheder kan kompromittere jeres data

  • Eftersom at alt jeres data er i én kurv, er et sikkerhedsbrud en endnu større trussel end ellers


Modsat hvad mange tror, er det faktisk i langt de fleste situationer brugerens og ikke udbyderens ansvar at holde sin data sikker, når de benytter en Cloud-tjeneste. Dette skyldes at sikkerhedsbrud kun i få situationer skyldes en sårbarhed i Cloud-tjenesten system, men oftest skyldes forkert håndtering fra administrator eller brugerens side.

Konsekvenserne af forkert brug af Cloud-tjenester kan være mange, som f.eks. tab af data eller usikker håndtering af persondata, som går i strid med persondataloven. Generelt er Cloud-tjenester udfordrende i forhold til at overholde persondatalovens krav om sikker håndtering af personoplysninger, da mange forskellige brugere håndterer disse personfølsomme data og derved kan håndtere dem usikkert. Hvis du er i tvivl om, hvordan du skal håndtere persondata, skal du spørge den IT-ansvarlige i din organisation.



Disse sikkerhedsbrud og brud på persondataloven kan undgås, så længe man er opmærksom på hvordan man benytter Cloud-tjenester og har sikre retningslinjer for brugen fra organisationens side. Her er tre gode tips til at bruge skyen sikkert:

  • Benyt aldrig din private Cloud-tjeneste til arbejdsrelaterede data

  • Tilgå aldrig din arbejdsrelaterede Cloud-tjeneste fra et usikkert netværk

  • Benyt kun den Cloud-tjeneste, som dit arbejde anbefaler

Cloud-tjenester kan være et godt arbejdsværktøj, så længe man bruger det med omtanke og forstår dets udfordringer og begrænsninger. Her er endnu et klart eksempel på, at medarbejdernes kunnen er lige så stor en del af IT-sikkerhed som det tekniske aspekt.  


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Fra lommetyv til IT-kriminel

IT-kriminalitet er en voksende industri, som i 2018 er estimeret til at få en omsætning på 1,5 billioner dollars. Hvis vi vil undgå at bidrage til denne omsætning, bliver vi nødt til at holde os opdateret på hvordan denne industri udvikler sig. Dette inkluderer selvfølgelig de tekniske aspekter af IT-sikkerhed, men også at forstå, hvem der står bag truslen. I denne blogpost vil vi undersøge denne trussel og hvem bagmændene er.


Den klassiske stereotyp om den isolerede hårdkogte hacker, som vi kender fra film, passer ikke længere, hvis den nogensinde har, på nutidens IT-kriminelle. Det er blevet muligt for enhver med en smule teknisk snilde at blive en del af den voksende industri, hvilket er en stor faktor i industriens vækst. Disse kriminelle betaler for services, der gør det muligt for dem at køre f.eks. phishing- eller ransomware-kampagner, som de ellers ikke ville have den tekniske kunnen til at eksekvere.


Den lette adgang til disse services er en af grundene til at mange småkriminelle, som før beskæftigede sig med f.eks. lommetyveri, er skiftet til IT-kriminalitet. IT-kriminalitet appellerer til disse mennesker på grund af at det er:

  • Nemt 

  • Lukrativt 

  • Relativt risikofrit


Desværre er det nemlig sådan at IT-kriminelle meget sjældent bliver fanget eller dømt, selvom at de svindler for store mængder penge. På samme tid kan den kriminelle også undgå at se deres ofre i øjnene, hvilket gør det lettere på samvittigheden. Det er altså ikke hårdkogte hackere, men  simple forbrydere, som vil tjene hurtige penge. Denne type IT-kriminel bruger oftest en af tre metoder:

  • Phishing
     

  • Passwordtyveri 

  • Ransomware


Langt de fleste af disse IT-kriminelles forsøg på svindel kan undgås, så længe man forholder sig skeptisk overfor det man møder i det digitale, og man holder sig opdateret på truslernes udvikling. Dette skaber et behov for kontinuerlig træning, som også derfor er et krav i personforordningen, og det kan f.eks. opnås igennem awareness-træning.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Malware anno 2018

Malware kom igen i fokus i 2017 da over 200.000 systemer blev inficeret med det effektive ransomware WannaCry. Det er estimeret at angrebet kostede de inficerede over 100 millioner dollars, og fastlåste flere store institutioner og firmaer. Dette angreb blev et eksempel på, hvordan malware udvikler sig, og hvor vigtigt det er, at vi holder os opdaterede på aktuelle trusler indenfor IT-sikkerhed.  


I sidste blogpost havde vi fokus på den største aktuelle trussel indenfor IT-sikkerhed: Phishing. I denne blogpost vil vi fokusere på en af de potentielle konsekvenser phishing kan have: Malware. Begrebet malware over en bred vifte af skadelige typer software. Et par eksempler på dette er ransomware, adware og spyware. 


Det er ikke længere kun hardcore IT-kriminelle, som har adgang til malware, men nu også småkriminelle ved hjælp af programmer som Cerber. Cerber er et eksempel på programmer man kalder ”Ransomware as a Service” (RaaS), der gør det let for enhver at sende ransomware-angreb afsted. RaaS har gjort at mængden af ransomware er steget støt, hvilket gør det vigtigt, at jeres medarbejdere er opmærksomme på de få der kommer igennem jeres antivirusprogrammer.  


Det er ikke kun computere der er i fare, men også smartphones. Mængden af malware på Google Play fordoblede i 2017 og man bliver derfor også nødt til at være kritisk overfor hvilke apps, man downloader til sin telefon. Generelt har Mac-computere og iPhones været mindre udsatte i forhold til Malware. I 2017 så man dog en stigning i forsøg på at inficere disse systemer, men antallet af reelle Malware angreb var stadig færre end på Windows-systemer.  

Der er altså intet der tyder på at malware fremadrettet bliver et mindre problem, så hvordan beskytter vi os imod det? Her kommer fem huskeregler jeres medarbejdere kan bruge til at undgå malware: 

  • Brug et antivirusprogram på alt IT-udstyr, der tillader det.  

  • Hent eller åbn aldrig filer fra folk, du ikke kender eller har tiltro til.
     
     

  • Indlæs aldrig CD’er eller USB-nøgler, som du ikke ved, hvor kommer fra.  

  • Hold alle dine systemer og programmer opdateret på smartphone, computer og andet IT-udstyr.  

  • Vær varsom med at klikke på pop-ups, reklamer, tilbud, konkurrencer og lignende.  

Huskeregler som disse kan hjælpe med at undgå langt størstedelen af malware, men som man så med WannaCry udvikler truslen sig. Dette gør det nødvendigt, at vi kontinuerligt holder alle dele af vores IT-sikkerhed opdateret. Sikker IT involverer selvfølgelig at have styr på de tekniske aspekter af IT-sikkerheden, men medarbejdernes viden er mindst lige så vigtigt, da det kun kræver at én medarbejder falder i fælden, for at konsekvenserne mærkes.
 

  

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

Se her for mere information omkring vores awareness-træning. 

Phishing – Den største digitale trussel

Phishing er blevet vurderet til at være den største aktuelle IT-sikkerhedsrelaterede trussel for virksomheder. I denne blogpost vil du lære både hvordan phishing har udviklet sig og hvordan I kan undgå at jeres medarbejdere falder i fælden. 

Phishings udvikling 

 

Igennem de sidste 10 år er phishing gået fra at være en fælde, som kun de mest uopmærksomme faldt i, til at være en udfordring, som enhver virksomhed er tvunget til at tage seriøst.  Phishing har udviklet sig fra gennemskuelige masseproducerede e-mails fyldt med stavefejl til e-mails, som er skræddersyede til at snyde lige netop dine medarbejdere. 

Det kræver kun én fejl fra én medarbejder 

For at beskytte din virksomhed er det selvfølgelig essentielt at have styr på de tekniske aspekter af IT-sikkerheden, da det sorterer størstedelen af de skadelige e-mails fra, men det er lige så essentielt at jeres medarbejdere er trænet til at håndtere de få der kommer igennem filteret. Det kræver kun at én medarbejder falder i fælden, før jeres virksomhed mærker konsekvenserne. 

 

Vær særlig opmærksom på phishing af persondata 

 

Den nye persondataforordning sætter endvidere fokus på brud på it-sikkerheden, særligt når et brud involverer læk af persondata. Dette betyder, at et phishing-angreb ikke blot kan have konsekvenser for virksomhedens egne fortrolige oplysninger, men at man også risikerer at komme i problemer ift. persondataforordningen. 


Nødvendigt med kontinuerlig træning 


Det er vigtigt at træning af medarbejderne i IT-sikkerhed er kontinuerlig, da truslerne konstant udvikler sig. Et eksempel på dette er, at man engang nemt kunne spotte phishing på de mange stavefejl og den dårlige grammatik. I dag har de kriminelle dog lavet om på dette, hvilket betyder at man sjældent ser dårligt skrevne forsøg på phishing. Det gør de falske mails væsentlig sværere at spotte.  

Nu er der altså andre ting, som medarbejderne skal være opmærksomme på for at være i stand til at håndtere e-mails sikkert, hvilket øger behovet for
kontinuerlig IT-sikkerheds træning.  


Huskeregler for phishing 


Vi har opstillet tre gode huskeregler, som kan hjælpe dine medarbejdere: 

  • Vær forsigtig med at åbne vedhæftede filer.
     

  • Klik ikke på links i e-mails. 

  • Send aldrig følsomme oplysninger via e-mail. 

Huskeregler er gode at have, men en trussel så stor som phishing kræver kontinuerlig træning enten i form af undervisning eller tests. 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

  

Se her for mere information omkring vores awareness-træning. 

Persondata for begyndere

Siden godkendelsen af persondataforordningen er brugen af ordet ”persondata” eksploderet. Ordet har floreret i både nyhederne og på de sociale medier, men på dit arbejde har du nok også oplevet, at der stilles nye krav til, hvordan du behandler persondata. På samme tid har du også fået en masse e-mails fra firmaer, som oplyser dig om, hvordan de behandler din persondata. Alle disse ting kan være svære at forholde sig til, hvis man er lidt usikker på, hvad persondata egentlig er for noget. Derfor kommer her en lille gennemgang af hvad persondata egentlig er og en forklaring på, hvorfor det er vigtigt, at du kender til begrebet.

 

 

Persondata forklaret

 

Datatilsynet definerer persondata som:

 

”… Enhver form for information om en identificeret eller identificerbar fysisk person”[i]

 

Det vil altså sige, at hvis en oplysning siger noget om en person eller leder til en person, så er det persondata. Her er det vigtigt at huske, at det ikke kun gælder informationer i form af tekst, men også i form af videoer, lydoptagelser eller billeder af en person. For at pointere, hvor bredt begrebet persondata favner, får du her lige en liste over nogle af de informationer som er persondata:

 

  • Fornavn og efternavn

  • Køn

  • CPR-nr.

  • Adresse

  • Skostørrelse

  • E-mailadresse

  • Helbredsoplysninger

  • Religiøs overbevisning

  • Politisk overbevisning

  • Telefonnummer

  • Fødselsdato

  • IP-adresse

  • Interesser

  • Fysiske kendetegn

  • Bankoplysninger

  • Online adfærd

  • Og meget meget mere…

Persondata kan altså være utrolig mange forskellige ting. Dog er det ikke alle personoplysninger som prioriteres lige højt i forhold til IT-sikkerhed. Derfor skelner man mellem almindelige persondata og følsomme persondata.



Almindelige persondata vs. Følsomme persondata

 

Informationer som f.eks. navn, køn, adresse og e-mail hører ind under kategorien ”almindelig”, hvor informationer som f.eks. politisk eller religiøs overbevisning, oplysninger om etnisk baggrund eller tilhørsforhold til fagforening hører under kategorien ”følsom”. Hvilke informationer der hører til hvilken kategori, vil for nogen virke indlysende, men i nogle situationer kan det være ret svært at tyde. En sådan situation er i forhold til CPR-numre, som faktisk bliver kategoriseret som almindelige person data, selvom mange nok ville tro det var følsom persondata. Det viser sig dog, at lige præcis CPR-numre er underlagt nogle specifikke regler, som er lidt strammere end reglerne for almindelige persondata. Så man kan lige så godt behandle dem som følsomme persondata.

 

Når du beskæftiger dig med persondata, skal du være særligt opmærksom på, hvornår du bevæger dig fra almindelige til følsomme persondata. At skelne imellem de to kan være svært, men det er meget vigtigt, da der er meget strengere regler i den nye GDPR for behandlingen af den følsomme variant. Hvis du er i tvivl om hvilken kategori et stykke persondata tilhører, er det bedste at gøre, at snakke med den i din organisation, der er ansvarlig for området. I nogle tilfælde kræver den nye lov, GDPR, at firmaet udvælger en til at være ”DPO”, som også kaldes en databeskyttelsesrådgiver. Er der ikke en DPO i din virksomhed kan du spørge den IT-ansvarlige eller datakyndige kolleger.

 

 

Hvorfor er det vigtigt?

 

I forbindelse med den nye lovgivning er indsatsen for at fange forkert håndtering af persondata steget. Det samme er størrelsen på bøderne. Disse bøder kan være op imod 4% af virksomheden eller organisationens globale omsætning. Det skaber selvfølgelig et stort incitament til at have orden i sagerne, men bøder er ikke den eneste mulige konsekvens ved usikker behandling af persondata. Usikker behandling af persondata kan også føre til identitetstyveri, økonomisk svindel, brud på privatliv og et dårligt omdømme for din organisation eller virksomhed.

 

 

Hvad kan jeg gøre?

 

Det var et lille indblik i, hvorfor du skal være forsigtig, når du behandler persondata, og hvad det egentlig går ud på. Selvom det kan virke uoverskueligt at ændre på sine vaner og arbejdsrutiner kan man nå rigtig langt med tre simple huskeregler.

  1. Vær bevidst om, hvornår du behandler almindelige eller følsomme persondata. Når det er følsomme persondata, bør du være særligt opmærksom.

  2. Behandl persondata som noget, du låner. Pas på det, aflever det tilbage og lån det ikke ud. Det vil sige at man skal opbevare det sikkert, slette det når du er færdig og aldrig videregive det til andre.

  3. Er du i tvivl om, hvordan persondata skal håndteres i jeres organisation, så forhør dig hos den ansvarlige, f.eks. jeres DPO.


Hvis du følger disse huskeregler, er du godt på vej. Det er vigtigt at forstå, at når man vil løse udfordringer indenfor IT-sikkerhed er tekniske løsninger vigtige, men det er mindst ligeså vigtigt, hvordan medarbejderne bærer sig ad.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Se her for mere information omkring vores awareness-træning.

 

[i] http://www.privacy-regulation.eu/da/4.htm