Hvad er sammenhængen mellem ISO27001 og GDPR (Persondataforordningen)?

Sådan sikrer du, at jeres IT-sikkerhed lever op til kravene i persondataforordningen.

Hvorfor er det vigtigt?

I denne artikel vil jeg beskrive, hvordan du kan sikre at jeres organisations it-sikkerhed lever op til kravene i persondataforordningen (også kaldet persondataloven eller GDPR).  

Når du har læst denne artikel, vil du selv være i stand til at påbegynde eller fortsætte jeres arbejde med at få etableret de sikkerhedstiltag, som skal til for at leve op til de nye regler. 

Der vil være fokus på de indledende processer omkring risikovurdering. 

Artiklen er delt op i følgende dele: 

  • Kort introduktion til persondataforordningen ift. it-sikkerhedskrav
  • Det direkte link mellem persondataforordningen og it-sikkerhedsstandarden ISO27001
  • Gennemgang af Datatilsynets vejledning i behandlingssikkerhed  
  • Uddybende forklaring af ISO27001  
  • Risikovurdering  
  • Den traditionelle metode kendt fra ISO27001
  • Persondata” metode fra persondataforordningen/Datatilsynet  
  • Eksempler på aktiviteter og tiltag, som kan være relevante for jer ift. at opnå det nødvendige it-sikkerhedsniveau  

Hvordan hænger persondata sammen med IT-sikkerhed?

Persondataloven, Persondataforordningen eller GDPR – kært barn har mange navne…. Det korrekte navn er dog persondataforordningen, som trådte i kraft maj 2018 og afløste den tidligere persondatalov. GDPR er blot en forkortelse af den engelske oversættelse – General Data Protection Regulation. 

Persondataforordningen drejer sig grundlæggende om at organisationer, som behandler persondata i Europa, skal leve op til en række regler, således at borgerne kan føle sig sikre på, at deres personlige data ikke bliver misbrugt, lækket eller på anden måde behandlet på en måde, som ikke er i deres interesse. 

Persondataforordningen gælder både det fysiske og det digitale, men fordi der de seneste år er så mange organisationer, som netop behandler persondata i digitale systemer, så har den ”digitale” del af persondataforordningen fyldt det meste fra start – og med god grund. 

Og når man snakker beskyttelse af data i det digitale, så snakker man jo it-sikkerhed. Derfor har der været en klar sammenhæng mellem organisationers arbejde med it-sikkerhed og deres evne til at leve op til de nye regler.  

I denne artikel vil jeg gå mere i dybden med hvordan persondataforordningen stiller krav til organisationers it-sikkerhed og hvordan organisationer jf. de nye regler skal gå til opgaven med at sikre, at man lever op til reglerne. 

Heldigvis – har forfatterne til persondataforordningen ikke genopfundet den dybe tallerken ift. it-sikkerhed i forbindelse med persondataforordningen. De har derimod søgt stor inspiration fra de eksisterende standarder, som fastsætter rammerne for god praksis indenfor arbejdet med it-sikkerhed. Her har man kigget imod informationssikkerhedsstandarden ISO27001, som i mange år har været den mest anvendte og anerkendte standard indenfor dette område. 

Derudover har Datatilsynet været så behjælpelige at lave en vejledning i ”behandlingssikkerhed”, som også viser konkrete metoder til hvordan arbejdet kan tilrettelægges. Her er der også direkte henvisninger til ISO27001. 

Jeg vil derfor i denne artikel forsøge at vise hvordan persondataforordningen og ISO27001 smelter sammen og hvordan man helt praktisk kan gå til værks i arbejdet med implementering af it-sikkerhed. 

Hvad er det direkte link mellem persondataforordningen og IT-sikkerhedsstandarden ISO27001?

Som det første vil jeg dog gerne vise hvordan der er et direkte link mellem persondataforordningen og ISO27001. Dette ses i formuleringen af sikkerhedskrav og sikkerhedsforanstaltninger i lovteksten i persondataforordningen. 

Der er tydelige link mellem de to: 

Der er således ikke nogen tvivl om at it-sikkerhed og persondataforordningen hænger sammen. Lad os nu dykke dybere i hvordan man konkret griber opgaven an med at få etableret det nødvendige it-sikkerhedsniveau for at leve op til kravene.  

Hvad siger Datatilsynets vejledning i behandlingssikkerhed? 

I juni 2018 udgav Datatilsynet deres vejledning til danske organisationer i behandlingssikkerhed. Dette er en stor hjælp for danske organisationer, da denne vejledning netop forsøger at gøre de mere ”overordnede principper for sikkerhedskrav og sikkerhedsforanstaltninger til mere konkrete tiltag, som man kan forholde sig til. Derudover stilles der mere skarpt ind på forventningen til selve processen for arbejdet med it-sikkerhed, hvilket igen trækker tråde til ISO27001. 

Lad os kigge nærmere på hvad der står i vejledningen – https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf 

Behandlings

Først og fremmest gøres det klart i vejledningen at man skal tage udgangspunkt i en ”risikobaseret tilgang”. Dette kommer vi også tilbage til under ISO27001.  

Denne risikobaserede tænkning kendetegnes ved implementeringen af processer, der tager højde for løbende identifikation af både risici og muligheder samt den efterfølgende overvågning, måling, evaluering og analyse af disse. 

Datatilsynet gør det altså klart i vejledningen, at processen for arbejdet med behandlingssikkerhed (it-sikkerhed) skal følge følgende steps: 

Vurdering af risici  passende tekniske og organisatoriske foranstaltninger  overvågning, måling – evaluering og analyse. 

Vi kommer senere tilbage til hvordan man helt konkret kommer i gang med de ovenstående steps. Men først kan vi tage et kig på hvordan ISO27001 lægger op til samme præcis samme proces, nemlig igennem:  

Plan  Do  Check  Act 

Hvad siger ISO27001?

 ISO27001 er en anerkendt international standard, som bruges i arbejdet med informationssikkerhed. ISO27001 er den mest anvendte standard i Europa og derfor har det også været oplagt for lovgiverne at kigge på denne standard, når man har skullet definere sikkerhedskrav og foranstaltninger i både persondataloven (den tidligere lov) og persondataforordningen (den nuværende lov). 

ISO27001 er delt op i fire overordnede steps: 

Plan – risikovurdering 

Do – Implementering af tiltag 

Check – Måling af de implementerede tiltag 

Act – Evaluering og tilretning af tiltag 

Som beskrevet ovenfor, så er det præcis samme proces, som Datatilsynet ligger op til i deres vejledning i behandlingssikkerhed. 

Helt grundlæggende, så definerer ISO27001 den kontinuerlige proces med arbejdet med it-sikkerhed. Den fungerer ikke som en tjekliste, men lister dog en række områder, som er relevante at tage højde for. Men kernen i ISO27001 er, at man altid skal arbejde ud fra en risiko-baseret tilgang – dvs. vi skal kun implementere de tiltag, som er relevante for os ift. de risici, som vi har. 

ISO27001 lister dog en række områder, hvor der er inspiration til hvordan man kunne arbejde med tingene, hvis det er relevant for ens egen organisation.  

Disse områder er defineret i Bilag a til ISO27001: 

  • Information Security Policies 
  • Organization of Information Security 
  • Human Resource Security 
  • Asset Management 
  • Access Control 
  • Cryptography 
  • Physical and Environmental Security 
  • Operations Security 
  • Communications Security 
  • System Acquisition, Development and Maintenance 
  • Supplier Relationships 
  • Information Security Incident Management 
  • Information Security Aspects of Business Continuity Management 
  • Compliance 

 

Man kan arbejde med ISO27001 på forskellige niveauer: 

  1. Man kan følge standarden – dvs. at man blot selv står inde for at man har implementeret processerne og tiltagene 
  1. Man kan få en revisionserklæring – ISAE3402 på at man følger standarden – det betyder, at man har fået en revisor til at gennemgå ens setup og indestå for at man følger processerne og har de relevante tiltag implementeret. 
  1. Man kan blive ISO-certificeret – hvilket betyder at man får en autoriseret ISO-auditør til at at tjekke hele ens setup og sikrer at alt følger ISO-standarden fra A-Z. Dette er enormt omfattende og kun meget få organisationer vælger at gøre dette. 

Der er dog som udgangspunkt ikke noget krav til certificeringer i persondataforordningen. Men det kan være relevant overfor eksterne samarbejdspartnere og kunder. 

Du kan læse mere om de forskellige typer af certificeringer her. 

 

Efter denne introduktion til Datatilsynets vejledning i behandlingssikkerhed og ISO27001 er det nu relevant at kigge nærmere på selve processen omkring risikovurdering. 

Hvad siger ISO27001?

Lad os først starte med at definere risiko: 

Risiko er altså sandsynligheden for at en specifik begivenhed forekommer sammenholdt med konsekvensen hvis en specifik begivenhed forekommer. Det er således vigtigt altid at have begge aspekter med – sandsynlighed og konsekvens. 

Risikovurderingen er den proces, som man gennemgår for at identificere de relevante risici, som er tilstede i netop jeres organisation. Man kan således godt søge inspiration fra andre organisationer, men man skal altid lave risikovurdering med udgangspunkt i egne forhold. 

Ofte vil man gennemføre en risikovurdering på et møde eller workshop, hvor de relevante stakeholdere fra organisationen er til stede 

Målet er at kunne udfylde en risikomatrix som denne: 

Når man har udfyldt risikomatrixen, er det nemt at vurdere, hvor man skal prioritere sine tiltag – det skal man selvfølgelig gøre hvis der er risici i de røde felter, og dernæst de gule. 

Det er vigtigt at være opmærksom på at der ift. ISO27001 og persondataforordningen er en vigtig forskel, som man skal tage hensyn til ift. processen for risikovurdering. 

Den traditionelle metode for risikovurdering, som man kender fra ISO27001, tager udgangspunkt i konsekvenserne for organisationenaltså hvilke økonomiske, omdømmemæssige, markedsmæssige, juridiske etc. konsekvenser, som en givende begivenhed for opleve. 

 

I den I Datatilsynets vejledning lægges der op til at man tager udgangspunkt i konsekvensen for den registrerede – altså den enkelte person – ikke organisationen. 

Dette er vigtigt at have for øje når man laver sin risikovurdering. 

Risikovurderingen for organisationen laver man således for at identificere hvilke risici, som kan have en afgørende betydning for organisationen fremtidige liv. Dette er en værdifuld øvelse at gennemføre, da det ofte giver en række åbenbaringer. Det giver ofte også anledning til at man identificerer en række områder, hvor relativt simple tiltag kan reducere meget risiko. 

Risikovurderingen for den registrerede laver man for at sikre at man lever op til reglerne og for at sikre at ens behandling af persondata ikke udgør en væsentlig risiko for de personer, hvis data man behandler. Hvis dette er tilfældet og der forekommer sikkerhedsbrud, så kan man blive ramt af hårde bødestraffe, hvilket derigennem kan true organisationens fremtidige liv. 

Datatilsynet har lavet en liste over konsekvenser, som man bør overveje i sin risikovurdering: 

  • Fysisk skade 
  • Materiel skade 
  • Immateriel skade 
  • Forskelsbehandling 
  • Identitetstyveri 
  • Identitetssvig 
  • Økonomisk konsekvenser  
  • Skade på omdømme 
  • Sociale konsekvenser 
  • Indflydelse på privatliv 
  • Skade på menneskelig værdighed 
  • Skade på legitime interesser 
  • Begrænsning/krænkelse af fundamentale rettigheder og frihedsrettigheder 
  • Forhindring i udøvelse af kontrol med egne personoplysninger 

 

Derudover har de beskrevet hvordan man bør vurdere påvirkningsgraden: 

 

For at få både perspektivet for både organisationen og for den registrerede bør man derfor lave to risikovurderinger – en for organisationen og en for den registrerede. 

Se datatilsynets vejledning for en gennemgang af en risikovurdering, hvor der tages udgangspunkt i den registrerede – https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf 

I denne artikel vil vi vise en risikovurdering, som tager udgangspunkt i en organisation. 

Denne risikovurdering tager udgangspunkt i konsekvensen for organisationen og baseres på organisationens aktiver eller processer. 

Risikovurderingen gennemføres ved at udfylde nedenstående skema: 

Definitioner: 

Aktiv/proces: Jeres fysiske eller digitale aktiver eller processer – f.eks. servere, data eller salgsproces, markedsføringsproces. Ofte er det bedst at tage udgangspunkt i enten aktiver eller processer. I det videre vil der blive taget udgangspunkt i aktiver. 

TrusselDen relevante trussel, som kan ramme det pågældende aktiv. Det kan f.eks. være ransomware, nedbrud, phishing-angreb eller uautoriseret adgang til data. Trussel beskriver således ”hvad” der kan ske. 

Sårbarhed: Her er det målet at identificere, ”hvorfor” en trussel kan ramme det pågældende aktiv. Der er således en sammenhæng mellem trussel og sårbarhed. Hvad” (trussel) kan der ske og hvorfor” (sårbarhed) kan det ske. Relevante sårbarheder kan være: ikke-opdaterede systemer, manglende redundans, ikke-opmærksomme/trænede medarbejdere,  manglende adgangskontroller etc. 

SandsynlighedHvad er den vurderede sandsynlighed for at en specifik begivenhed forekommer. Jo mere sårbarheder og trussel – jo hørere sandsynlighed 

Konsekvens: Hvad er den vurderede konsekvens for at en specifik begivenhed forekommer. Jo mere alvorlige sårbarheder og trussel + plus jo mere kritiske/værdifulde det pågældende aktiv [Symbol] jo højere konsekvens. 

Øvelsen er således herfra at liste organisationens relevante aktiver og så arbejde sig igennem en for en. 

Se nedenfor udfyldt skema med eksempler på hvordan det kunne se ud for en given organisation.  

Dette er naturligvis kun få af organisationens aktiver, som i en virkelig case ville være meget længere. Men det viser den anvendte metodik.  

Hernæst er det muligt at udfylde risikomatrixen for at få overblikket over prioritering:

Det sidste step i ”Plan”-fasen er således at planlægge de tiltag, som skal adressere de risici, som skal håndteres.  Som det ses ovenfor, er der i dette tilfælde to aktiver, som befinder sig i de røde felter – medarbejdere og server. Derfor bør man som minimum forsøge at implementere tiltag, som kan reducere risikoen for disse to aktiver. 

Det er herefter vigtigt at man får dokumenteret hvilket tiltag, som man ønsker at implementere og får udpeget en ansvarlig for implementeringen. I dette tilfælde kunne en sådan actionliste se således ud: 

Vi ser ofte, at netop medarbejdere udgår en væsentlig risiko både ift. den generelle it-sikkerhed, men også ift. overholdelse af reglerne i persondataforordningen. 

Vi har derfor udarbejdet en guide til hvordan du kommer i gang med at træne dine medarbejdere i it-sikkerhed og persondataforordningen. I guiden får du gratis adgang til en række skabeloner og værktøjer, som du kan bruge i jeres organisation.

Hvad har vi gennemgået? 

  • Der er en klar sammenhæng mellem it-sikkerhed og persondataforordningen 
  • Datatilsynets vejledning i behandlingssikkerhed lægger op til samme proces som ISO27001: Plan, Do, Check og Act 
  • Nøgleordet er risikovurdering – start derfor altid her 
  • Husk at der er forskel mellem risikovurdering for it-sikkerhed og persondata 
  • Lav begge og sikr derved det fulde overblik 
  • Medarbejderne er altid en risiko – læs mere her 
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Få besked når vi udgiver nye artikler

4 Huskeregler til at Håndtere Sikkerhedsbrud

Over de sidste år er mængden af IT-angreb steget, hvilket betyder, at vi bliver nødt til at have en plan for hvordan vi håndterer sikkerhedsbrud. Derfor vil vi i denne blogpost gennemgå, hvordan i skal forholde jer til begrebet sikkerhedsbrud og hvordan i som organisation kan forberede jeres medarbejdere på sådanne brud. 



Hvad er et sikkerhedsbrud egentlig? 


Et sikkerhedsbrud er helt kort en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret. Det er altså et brud, så snart vi ved, at nogen uvedkommende har haft adgang til vigtige data eller systemer. Et sikkerhedsbrud er altså ikke kun de store skandaler vi kender fra medierne, men også situationer hvor der f.eks. er forsvundet en mappe med vigtige papirer eller en e-mail, der er blevet sendt til den forkerte modtager. Ofte rapporteres disse mindre sikkerhedsbrud ikke, hvilket kan skabe en sårbarhed i jeres virksomhed.  Dette er bekymrende, da antallet af IT-angreb er stigende, hvilket ses på grafen herunder.


 

4 Vigtige Huskeregler 


Det er selvfølgelig altid målet helt at undgå sikkerhedsbrud, men når uheldet er ude, er det vigtigt at have etableret en proces til at håndtere sådanne brud. Til at håndtere sådanne sikkerhedsbrud sikkert har vi lavet disse fire huskeregler:  



  1. Et sikkerhedsbrud er en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret.  

  2. Hvis sikkerhedsbruddet involverer persondata, stiller persondataforordningen krav om, at organisationen skal følge bestemte regler.  

  3. Du skal altid indberette et sikkerhedsbrud. Så kan hændelsen stoppes og sikkerheden forbedres.  

  4. Det er vigtigt, at du ved, hvem du skal rapportere et sikkerhedsbrud til. Det kan være en DPO (Data Protection Officer), den IT-ansvarlige eller lignende.  


Hvorfor rapporteres disse brud ikke? 


I nogle situationer rapporteres sådanne brud ikke af den simple grund, at medarbejderen ikke ved, at det de står overfor, kvalificerer sig som et sikkerhedsbrud. Sådanne situationer, hvor det er viden der er mangelvaren, kan løses igennem undervisning. Her er awareness-træning et åbenlyst bud.  



I andre situationer rapporteres et brud ikke af den simple grund, at medarbejderen er bange for de konsekvenser, det kan have. Disse situationer er sværere at undgå, da de kræver, at organisationen skaber en kultur, hvor ærlighed i sådanne situationer vægtes tungere end fejlen i sig selv.  



Til sidst ses også situationer, hvor en organisation administrativt vælger ikke at rapportere for ikke at undgå den dårlige omtale, som sådan et brud fører med sig. Udover at man her risikerer endnu dårligere omtale, hvis det opdages, at man har forsøgt at feje et brud under måtten, er der med den nye persondatalov også mulighed for store bøder.  



Konsekvenser ved et sikkerhedsbrud 


Som vi lige har pointeret, dækker begrebet sikkerhedsbrud bredt og derfor er det også naturligt at et sikkerhedsbrud kan have mange forskellige konsekvenser. Et sikkerhedsbrud kan f.eks. godt være helt uden konsekvenser i situationer, hvor uvedkommende har haft adgang til data, men ikke har udnyttet det. Dette har dog ændret sig efter GDPR, hvilket vi kommer ind på senere. I sådanne situationer er det dog stadig vigtigt at rapportere bruddet, da sikkerheden derved kan forbedres, og fremtidige sikkerhedsbrud kan undgås. I mindre heldige situationer kan konsekvenser være alt fra dårligt omdømme til store finansielle tab. Når uheldet er ude og vi oplever et sikkerhedsbrud kan ordentlig håndtering hjælpe os med at minimere disse konsekvenser.  



GDPR og Sikkerhedsbrud 


Med den nye persondataforordning, GDPR, følger der også nye krav til hvordan sikkerhedsbrud håndteres. Hvis persondata er blevet kompromitteret i et sikkerhedsbrud, har man som organisation 72 timer til at rapportere det. Hvis rapporteringen sker senere end dette, skal man som organisation kunne argumentere for hvorfor dette er sket. Udover dette skal der vurderes, hvorvidt de kompromitterede data skaber en risiko for persondataens ejere. Hvis dette er sagen, skal disse underrettes så hurtigt som muligt. Et eksempel på dette er hvis jeres brugeres passwords eller kontooplysninger er blevet kompromitteret. Her skal denne datas ejere have denne information så hurtigt som muligt, så de kan sikre sig selv. Hvis man ikke når at rapportere et sikkerhedsbrud indenfor 72 timer og ikke kan argumentere tilfredsstillende for hvorfor dette ikke skete, kan man ende med at få en bøde på op til 2% af organisationens årlige globale omsætning. At have en plan for hvordan man håndterer sikkerhedsbrud er altså vigtigere end 

nogensinde før. 



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.     

GDPR’s effekt på din IT-sikkerhed

Siden EU’s GDPR trådte i kraft i maj, har den været et uundgåeligt emne i enhver snak om IT-sikkerhed og organisationsprocesser. Her bliver der oftest snakket om den ekstra arbejdsbyrde som persondataforordningen har forårsaget og ikke dens mulige positive effekter. I denne blogpost vil vi derfor fokusere på og udforske hvordan GDPR indtil videre har påvirket IT-sikkerhed, og hvorvidt dette har været positivt eller negativt.  

 

Eftersom at både GDPR og IT-sikkerhed i sidste ende handler om behandling af data, er det klart, at indførelsen af den nye lovgivning har haft en effekt på den globale IT-sikkerhed. Denne effekt har indtil videre været både positiv og negativ. Et eksempel på en negativ effekt er IT-kriminelle, som udnyttede forvirringen omkring GDPR til at lokke folk i fælder, de normalt ikke ville falde i. Her har vi f.eks. set phishing-forsøg, hvor bagmændene udnytter den store mængde GDPR-relaterede e-mails til at lokke informationer ud af deres ofre. Det er dog en smule uretfærdigt at give GDPR skylden for phishing, da det jo allerede var et stort problem inden. Hvis du er mere interesseret i phishing kan du læse mere om denne udfordring i denne blogpost.  

 

En anden meget omdiskuteret effekt ved persondataforordningen er introduktionen af massive bøder ved usikker behandling af persondata. Selvom, at vi endnu ikke har set en af disse bøder blive udstedt, forventes det, at de første bøder kommer inden dette år er omme. Det er blandt andet disse bøder, og især deres størrelser, som har motiveret virksomheder til at stræbe efter compliance. Inden GDPR havde usikker behandling af data også konsekvenser, som f.eks. tab af omdømme, tab af data og i nogle tilfælde økonomiske tab, men denne nye konsekvens, GDPR’s massive bøder, var åbenbart det der skulle til for, at virksomheder tog sikker databehandling alvorligt.  

  

GDPR har altså tvunget virksomhederne til at tage behandling af vores data alvorligt, og det må man sige er en positiv effekt. Denne jagt på compliance har dog også haft nogle negative konsekvenser. I en rapport af McKinsey fra Maj 2018 nævnes det, at mange virksomheder i deres forsøg på at nå at blive compliant inden GDPR’s indførelse, har benyttet sig af manuelle systemer. Her konkluderes der, at virksomhederne for at forblive compliant, bliver nødt til at udskifte disse manuelle systemer med automatiske systemer, da de manuelle kræver for mange ressourcer på lang sigt. Lovgivningens stramme krav og skarpe deadline har altså tvunget virksomhederne til at bruge manuelle ”lappeløsninger”, som på lang sigt potentielt kan skade deres IT-sikkerhed og compliance. 

 

For at opsummere har indførelsen af persondatafordningen indtil videre haft disse effekter: 

  • Forvirring omkring hvad loven egentligt kræver, som er blevet udnyttet af IT-kriminelle  

  • Et øget fokus på IT-sikkerhed, som nogen mener vil forårsage et generelt løft indenfor IT-sikkerhed  

  • Større motivation for at behandle data sikkert igennem truslen om massive bøder  

  • Stress omkring at opnå compliance, som i nogen tilfælde har gjort at organisationer har benyttet sig af lappeløsninger 

Alt i alt kan man konkludere at GDPR indtil videre har skabt et større fokus på IT-sikkerhed i det offentlige rum, hvilket i sig selv er en positiv udvikling. 

 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Kend dine persondata

Siden persondataforordningens indførelse i maj har persondata været et populært buzzword. Jeres medarbejdere ved derfor nok godt, hvor vigtigt det er at håndtere persondata sikkert, men måske ikke hvordan man egentligt gør det? I vores tidligere blogpost ”Persondata for begyndere” fortalte vi lidt om, hvordan man sikkert håndterer persondata, og i denne blogpost vil vi uddybe, hvad persondata er for noget, hvilke typer der er og hvordan man håndterer situationer, hvor typerne blandes.   


Persondata helt kort 


Persondata kan helt kort forklares som oplysninger, der kan bruges til at identificere en specifik person. Det kan altså være informationer som f.eks. navn, adresse, nummerplade, en jobansøgning eller et billede af en tatovering. Det bliver derfor en meget bred betegnelse og derfor er disse oplysninger kategoriseret som enten almindelige eller følsomme persondata.  



Følsomme persondata 


Hvis en personoplysning kategoriseres som følsom, kræver persondataforordningen en langt strengere håndtering og derfor også en større konsekvens ved usikker håndtering. Derfor er det vigtigt at jeres medarbejdere kan identificere følsomme persondata og udvise ekstra forsigtighed. Alle følsomme persondata indgår under en af de følgende kategorier: 


  • Race eller etnisk oprindelse 

  • Politisk, religiøs eller filosofisk overbevisning 

  • Fagforeningsmedlemsskab 

  • Genetiske data/Biometriske data (F.eks. fingeraftryk) 

  • Helbredsoplysninger 

  • Seksuelle forhold/orientering 


For mange vil disse kategorier virke åbenlyse, men på samme tid er der også overraskende eksempler, som f.eks. at et CPR-nummer ikke anses for at være følsom. CPR-nummeret hører til en tredje kategori nemlig fortrolige personoplysninger, som selvom de ikke anses for følsomme persondata ofte har særskilte regler for, hvordan de skal behandles.   


Blandet persondata 


Med to kategorier af persondata og en ekstra med særskilte regler kan det virke uoverskueligt at leve op til kravene i persondataforordningen. Ofte kan man dog, hvis man er god til at genkende følsomme persondata, hurtigt finde ud af hvordan oplysningerne skal behandles. Her kan man tage et CV som eksempel. Størstedelen af informationerne i et CV kan kategoriseres som almindelige personoplysninger. Dette er oplysninger som f.eks. navn, adresse, telefonnummer, alder, erhvervserfaring. På samme tid kan nogle uddannelses- og ansættelsesmæssige forhold også anses som fortrolige oplysninger. En huskeregel til jeres medarbejdere er, at man i en sådan situation skal starte med at lede efter følsomme persondata. Hvis man finder bare et enkelt eksempel på en sådan information, skal hele CV’et behandles som følsomme persondata, og man undgår derved at skulle forholde sig til hver personoplysning for sig.  



Håndtering af persondata 


Alt efter hvilken kategori en personoplysning tilhører, indeholder persondataforordningen også regler for, i hvilke situationer de må behandles. I denne blogpost vil vi ikke gå i dybden med disse regler, men hvis du er interesseret, kan du læse meget mere om dem på Datatilsynets hjemmeside. Ansvaret for at disse regler følges ligger i udgangspunktet hos jeres organisations dataansvarlige, og det er også derfor den person, jeres medarbejdere skal spørge om råd, hvis de er i tvivl om, hvorvidt de må behandle en specifik personoplysning. Det kan dog være en god idé for alle at besøge Datatilsynets hjemmeside og læse reglerne både for at sikre, at man ikke selv bryder reglerne, men også så man kan genkende, hvis andre behandler ens persondata i en situation, hvor de ikke har ret til det.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

Data i “skyen”

 Flere og flere organisationer benytter sig af Cloud-tjenester til at opbevare og behandle deres data.  Dette er sket på grund af Cloud-tjenesters mange fordele, men det skaber også nye trusler inden for IT-sikkerhed. I denne blogpost vil der blive gennemgået, hvad man indenfor IT-sikkerhed skal være opmærksom på, når man benytter sig af en Cloud-tjeneste.



Helt kort kan en Cloud-tjeneste beskrives som en IT-service, der lader dig gemme data på servere, som en udbyder stiller til rådighed. Du kan herefter tilgå disse servere fra alle dine godkendte enheder, som hvis din data altid hang i en ”sky” over dig. Denne tanke om at din data er i en ”sky” kan dog let skabe en falsk følelse af sikkerhed i forhold til din datas sikkerhed, så det er vigtigt at huske, at dine data i virkeligheden bare er gemt på en computer i et datacenter.


Der er primært tre grunde til at bruge en Cloud-tjeneste:


  • Det gør det let for jeres medarbejdere at tilgå deres filer og samarbejde om fælles filer

  • Det gør det muligt for jer, som organisation, at styre hvordan jeres filer og data kan behandles og tilgås

  • Der bliver automatisk lavet backup af filerne, i tilfælde af at filerne kompromitteres lokalt


Med disse grunde kan man godt forstå at mange benytter Cloud-tjenester, men der er også udfordringer, som f.eks.:


  • I situationer uden internet er jeres data utilgængelig, med mindre den er blevet synkroniseret med jeres enheder

  • Uopmærksomme medarbejdere som tilgår filerne fra forskellige enheder kan kompromittere jeres data

  • Eftersom at alt jeres data er i én kurv, er et sikkerhedsbrud en endnu større trussel end ellers


Modsat hvad mange tror, er det faktisk i langt de fleste situationer brugerens og ikke udbyderens ansvar at holde sin data sikker, når de benytter en Cloud-tjeneste. Dette skyldes at sikkerhedsbrud kun i få situationer skyldes en sårbarhed i Cloud-tjenesten system, men oftest skyldes forkert håndtering fra administrator eller brugerens side.

Konsekvenserne af forkert brug af Cloud-tjenester kan være mange, som f.eks. tab af data eller usikker håndtering af persondata, som går i strid med persondataloven. Generelt er Cloud-tjenester udfordrende i forhold til at overholde persondatalovens krav om sikker håndtering af personoplysninger, da mange forskellige brugere håndterer disse personfølsomme data og derved kan håndtere dem usikkert. Hvis du er i tvivl om, hvordan du skal håndtere persondata, skal du spørge den IT-ansvarlige i din organisation.



Disse sikkerhedsbrud og brud på persondataloven kan undgås, så længe man er opmærksom på hvordan man benytter Cloud-tjenester og har sikre retningslinjer for brugen fra organisationens side. Her er tre gode tips til at bruge skyen sikkert:

  • Benyt aldrig din private Cloud-tjeneste til arbejdsrelaterede data

  • Tilgå aldrig din arbejdsrelaterede Cloud-tjeneste fra et usikkert netværk

  • Benyt kun den Cloud-tjeneste, som dit arbejde anbefaler

Cloud-tjenester kan være et godt arbejdsværktøj, så længe man bruger det med omtanke og forstår dets udfordringer og begrænsninger. Her er endnu et klart eksempel på, at medarbejdernes kunnen er lige så stor en del af IT-sikkerhed som det tekniske aspekt.  


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Phishing – Den største digitale trussel

Phishing er blevet vurderet til at være den største aktuelle IT-sikkerhedsrelaterede trussel for virksomheder. I denne blogpost vil du lære både hvordan phishing har udviklet sig og hvordan I kan undgå at jeres medarbejdere falder i fælden. 

Phishings udvikling 

 

Igennem de sidste 10 år er phishing gået fra at være en fælde, som kun de mest uopmærksomme faldt i, til at være en udfordring, som enhver virksomhed er tvunget til at tage seriøst.  Phishing har udviklet sig fra gennemskuelige masseproducerede e-mails fyldt med stavefejl til e-mails, som er skræddersyede til at snyde lige netop dine medarbejdere. 

Det kræver kun én fejl fra én medarbejder 

For at beskytte din virksomhed er det selvfølgelig essentielt at have styr på de tekniske aspekter af IT-sikkerheden, da det sorterer størstedelen af de skadelige e-mails fra, men det er lige så essentielt at jeres medarbejdere er trænet til at håndtere de få der kommer igennem filteret. Det kræver kun at én medarbejder falder i fælden, før jeres virksomhed mærker konsekvenserne. 

 

Vær særlig opmærksom på phishing af persondata 

 

Den nye persondataforordning sætter endvidere fokus på brud på it-sikkerheden, særligt når et brud involverer læk af persondata. Dette betyder, at et phishing-angreb ikke blot kan have konsekvenser for virksomhedens egne fortrolige oplysninger, men at man også risikerer at komme i problemer ift. persondataforordningen. 


Nødvendigt med kontinuerlig træning 


Det er vigtigt at træning af medarbejderne i IT-sikkerhed er kontinuerlig, da truslerne konstant udvikler sig. Et eksempel på dette er, at man engang nemt kunne spotte phishing på de mange stavefejl og den dårlige grammatik. I dag har de kriminelle dog lavet om på dette, hvilket betyder at man sjældent ser dårligt skrevne forsøg på phishing. Det gør de falske mails væsentlig sværere at spotte.  

Nu er der altså andre ting, som medarbejderne skal være opmærksomme på for at være i stand til at håndtere e-mails sikkert, hvilket øger behovet for
kontinuerlig IT-sikkerheds træning.  


Huskeregler for phishing 


Vi har opstillet tre gode huskeregler, som kan hjælpe dine medarbejdere: 

  • Vær forsigtig med at åbne vedhæftede filer.
     

  • Klik ikke på links i e-mails. 

  • Send aldrig følsomme oplysninger via e-mail. 

Huskeregler er gode at have, men en trussel så stor som phishing kræver kontinuerlig træning enten i form af undervisning eller tests. 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

  

Se her for mere information omkring vores awareness-træning. 

Persondata for begyndere

Siden godkendelsen af persondataforordningen er brugen af ordet ”persondata” eksploderet. Ordet har floreret i både nyhederne og på de sociale medier, men på dit arbejde har du nok også oplevet, at der stilles nye krav til, hvordan du behandler persondata. På samme tid har du også fået en masse e-mails fra firmaer, som oplyser dig om, hvordan de behandler din persondata. Alle disse ting kan være svære at forholde sig til, hvis man er lidt usikker på, hvad persondata egentlig er for noget. Derfor kommer her en lille gennemgang af hvad persondata egentlig er og en forklaring på, hvorfor det er vigtigt, at du kender til begrebet.

 

 

Persondata forklaret

 

Datatilsynet definerer persondata som:

 

”… Enhver form for information om en identificeret eller identificerbar fysisk person”[i]

 

Det vil altså sige, at hvis en oplysning siger noget om en person eller leder til en person, så er det persondata. Her er det vigtigt at huske, at det ikke kun gælder informationer i form af tekst, men også i form af videoer, lydoptagelser eller billeder af en person. For at pointere, hvor bredt begrebet persondata favner, får du her lige en liste over nogle af de informationer som er persondata:

 

  • Fornavn og efternavn

  • Køn

  • CPR-nr.

  • Adresse

  • Skostørrelse

  • E-mailadresse

  • Helbredsoplysninger

  • Religiøs overbevisning

  • Politisk overbevisning

  • Telefonnummer

  • Fødselsdato

  • IP-adresse

  • Interesser

  • Fysiske kendetegn

  • Bankoplysninger

  • Online adfærd

  • Og meget meget mere…

Persondata kan altså være utrolig mange forskellige ting. Dog er det ikke alle personoplysninger som prioriteres lige højt i forhold til IT-sikkerhed. Derfor skelner man mellem almindelige persondata og følsomme persondata.



Almindelige persondata vs. Følsomme persondata

 

Informationer som f.eks. navn, køn, adresse og e-mail hører ind under kategorien ”almindelig”, hvor informationer som f.eks. politisk eller religiøs overbevisning, oplysninger om etnisk baggrund eller tilhørsforhold til fagforening hører under kategorien ”følsom”. Hvilke informationer der hører til hvilken kategori, vil for nogen virke indlysende, men i nogle situationer kan det være ret svært at tyde. En sådan situation er i forhold til CPR-numre, som faktisk bliver kategoriseret som almindelige person data, selvom mange nok ville tro det var følsom persondata. Det viser sig dog, at lige præcis CPR-numre er underlagt nogle specifikke regler, som er lidt strammere end reglerne for almindelige persondata. Så man kan lige så godt behandle dem som følsomme persondata.

 

Når du beskæftiger dig med persondata, skal du være særligt opmærksom på, hvornår du bevæger dig fra almindelige til følsomme persondata. At skelne imellem de to kan være svært, men det er meget vigtigt, da der er meget strengere regler i den nye GDPR for behandlingen af den følsomme variant. Hvis du er i tvivl om hvilken kategori et stykke persondata tilhører, er det bedste at gøre, at snakke med den i din organisation, der er ansvarlig for området. I nogle tilfælde kræver den nye lov, GDPR, at firmaet udvælger en til at være ”DPO”, som også kaldes en databeskyttelsesrådgiver. Er der ikke en DPO i din virksomhed kan du spørge den IT-ansvarlige eller datakyndige kolleger.

 

 

Hvorfor er det vigtigt?

 

I forbindelse med den nye lovgivning er indsatsen for at fange forkert håndtering af persondata steget. Det samme er størrelsen på bøderne. Disse bøder kan være op imod 4% af virksomheden eller organisationens globale omsætning. Det skaber selvfølgelig et stort incitament til at have orden i sagerne, men bøder er ikke den eneste mulige konsekvens ved usikker behandling af persondata. Usikker behandling af persondata kan også føre til identitetstyveri, økonomisk svindel, brud på privatliv og et dårligt omdømme for din organisation eller virksomhed.

 

 

Hvad kan jeg gøre?

 

Det var et lille indblik i, hvorfor du skal være forsigtig, når du behandler persondata, og hvad det egentlig går ud på. Selvom det kan virke uoverskueligt at ændre på sine vaner og arbejdsrutiner kan man nå rigtig langt med tre simple huskeregler.

  1. Vær bevidst om, hvornår du behandler almindelige eller følsomme persondata. Når det er følsomme persondata, bør du være særligt opmærksom.

  2. Behandl persondata som noget, du låner. Pas på det, aflever det tilbage og lån det ikke ud. Det vil sige at man skal opbevare det sikkert, slette det når du er færdig og aldrig videregive det til andre.

  3. Er du i tvivl om, hvordan persondata skal håndteres i jeres organisation, så forhør dig hos den ansvarlige, f.eks. jeres DPO.


Hvis du følger disse huskeregler, er du godt på vej. Det er vigtigt at forstå, at når man vil løse udfordringer indenfor IT-sikkerhed er tekniske løsninger vigtige, men det er mindst ligeså vigtigt, hvordan medarbejderne bærer sig ad.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Se her for mere information omkring vores awareness-træning.

 

[i] http://www.privacy-regulation.eu/da/4.htm