Derfor skal du bruge Datatilsynets katalog over sikkerhedsforanstaltninger!
Sidder du (i saksen) med GDPR og informationssikkerhed i din lille virksomhed eller forening? Så læs med her! For uanset om du arbejder med GDPR og informationssikkerhed fordi du var den, der trak den korte tændstik, fordi du er fagspecialist eller måske DPO, så har du brug for Datatilsynets katalog over sikkerhedsforanstaltninger. Hvorfor? Fordi det er et af de mest konkrete og praktisk anvendelige værktøjer, Datatilsynet har udgivet.
Datatilsynets vejledninger er ofte tungt stof at tygge sige igennem. Derfor er Datatilsynets katalog over sikkerhedsforanstaltninger en mere lettilgængelig adgang til nogle helt konkrete tiltag. Du kan relativt let sætte mange af foranstaltningerne i værk allerede i morgen. Og dermed forbedre både databeskyttelsen og IT- og Informationssikkerheden i din lille virksomhed eller forening.
Passende tekniske og organisatoriske foranstaltninger… øøøhh
Det lyder som den berømte “Goddag, mand?” “Økseskaft!” for mange. OK! Tjek! Men det er også temmelig abstrakt.
Alligevel er artikel 32 en af de vigtigste (og korteste) lovartikler i GDPR. For den siger noget om, at du som dataansvarlig skal implementere foranstaltninger, som
- øger din evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed i dine behandlingssystemer
- gør dig i stand til at genoprette tilgængeligheden af og adgangen til personoplysningerne i tilfælde af en (…) hændelse
- gør dig i stand til at dokumentere, at du har en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Men hvad er “passende”? Hvad gør du i praksis? Hvor skal du starte? Det kommer i bund og grund an på en konkret risikovurdering.
Find svaret i Datatilsynets katalog over sikkerhedsforanstaltninger
Datatilsynets katalog over sikkerhedsforanstaltninger gør kravene til øget databeskyttelse og IT- og Informationssikkerhed mere praksisnære og håndgribelige.
Foranstaltningerne kan i mange tilfælde implementeres direkte. Enten som udtryk for best practice, eller fordi de henter inspiration fra ISO-standarderne i 27000-serien. Derfor er oplagt at kombinere kataloget med de nyeste ISO/IEC-standarder i 27000-serien. Så kan du arbejde mere struktureret med databeskyttelse, IT- og informationssikkerhed og governance.
Og så kommer foranstaltningerne fra landets højeste administrative myndighed på området. Det giver altså en vis tyngde.
Datatilsynets katalog over sikkerhedsforanstaltninger er relevant uanset om du sidder i en lille virksomhed eller forening eller en offentlig myndighed. Det er det fordi, du får:
- anvisninger på på konkrete foranstaltninger
- forklaringer på hvorfor de giver mening
- inspiration til hvordan de kan implementeres
Men hvis du oplever, at det stadig kniber med at komme i mål, så er du ikke alene. Specielt hvis du sidder alene med opgaven i den lille virksomhed eller forening.
Mange organisationer mangler enten tid, kompetencer eller mandat. I de tilfælde kan det give mening at hente ekstern hjælp — ikke som en krykke, men som en accelerator.
Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici … (afkortet)
Et konkret eksempel fra Datatilsynets katalog over sikkerhedsforanstaltninger
Lad os slutte af med et konkret eksempel fra Datatilsynets katalog over sikkerhedsforanstaltninger.
Undgå kopiering af adgangsrettigheder uden aktiv stillingtagen
Det er let lige at kopiere Ullas adgange og rettigheder, når en ny medarbejder eller foreningsfrivillig starter. Lad os kalde ham Jens for eksemplets skyld. Men husker du lige at undersøge, hvad Ulla egentlig har adgang til. Og stemmer det overens med Ullas nuværende arbejdsopgaver? Stemmer det overens med de opgaver, som Jens skal løse?
Risiko:
Når adgangsrettigheder uden videre kopieres fra Ulla til Jens, så risikerer du at videreføre fejl. For eksempel kan Ulla have adgange, som burde have været lukket tidligere. Samtidig har den, der tildeler rettighederne ofte begrænset indsigt i, hvad der konkret kopieres. Derfor tager denne medarbejder ikke aktivt stilling til nødvendigheden af alle rettighederne. Hvis adgangene desuden ændres mellem godkendelse og kopiering, så kan der opstå tvivl om, hvad der egentlig blev godkendt, og hvem der bærer ansvaret. Det efterlader et uklart ansvar, især hvis der tildeles for brede rettigheder, som senere misbruges.
Derfor:
Du skal styre autorisationsprocessen og tage aktivt stilling til de adgangsrettigheder, Jens skal have, for at undgå, at han får rettigheder, som Ulla har (eller ikke burde have). Herved minimerer du risikoen for uberettiget adgang og misbrug. Også for at beskytte Jens.
Begrundelse:
Adgangs- og rettighedsstyring er en forebyggende foranstaltning, som kan mindske sandsynligheden for forkerte, for brede og uberettigede adgangsrettigheder uden arbejdsbetinget begrundelse.
Bottom-line: Derfor skal du bruge Datatilsynets katalog over sikkerhedsforanstaltninger aktivt!
Hvis du arbejder med databeskyttelse generelt og GDPR og informationssikkerhed i særdeleshed, så kan du bruge Datatilsynets katalog over sikkerhedsforanstaltninger som:
- reference i dit sikkerhedsarbejde
- løftestang i prioriteringsdiskussioner og
- dokumentation for, at dine valg er fagligt forankrede.
Det gør det markant lettere at gå fra intention til implementering — og fra antagelser til argumenter.
Og nej — jeg får ikke procenter fra Datatilsynet for at sige det her. 😉
Så lad os bruge flere af de værktøjer, der gør GDPR-efterlevelse mere praktisk og mindre teoretisk.
Datatilsynets katalog over sikkerhedsforanstaltninger er et af dem.
Fredagsfinten leverer små, lette tips og tricks til at forbedre din GDPR og din IT- og Informationssikkerhed i hverdagen.