Derfor skal du begrænse medarbejdernes adgang
Der er stigende fokus på persondatasikkerhed og beskyttelse af personoplysninger. Derfor er det afgørende at begrænse medarbejdernes adgang til personoplysninger til, hvad der er absolut nødvendigt for deres arbejdsopgaver. Dette princip kaldes “adgang efter behov”. Det er ikke blot en god praksis. Det er en lovmæssig forpligtelse i henhold til GDPR.
Selvfølgelig skal Bente på Lønkontoret have adgang til de personoplysninger, hun har brug for til at lave løn til de ansatte. Men Bente behøver vel ikke have adgang til brugeroplysningerne i IT-administrationssystemet? Og Søren i IT har heller ikke brug for lønoplysningerne, vel? Derfor skal du begrænse medarbejdernes adgang til deres relevante, arbejdsbetingede behov.
Minimér risikoen for fejl og misbrug
Når medarbejderne har adgang til flere personoplysninger end nødvendigt, øges risikoen for utilsigtede fejl som for eksempel:
- Offentliggørelse af fortrolige oplysninger (f.eks. ved fejlhåndtering af dokumenter).
- Uautoriseret videregivelse af oplysninger til uvedkommende.
- Misbrug af adgange til personoplysninger, enten bevidst eller ved uagtsomhed.
Også derfor skal du begrænse medarbejdernes adgang til det nødvendige. Datatilsynet peger på, at for bred adgang til data på netværksdrev, SharePoint eller OneDrive ofte er årsagen til brud på persondatasikkerheden.
Disse brud kan både ske utilsigtet eller bevidst. Konsekvenserne for de registrerede kan være alvorlige, herunder tab af tillid, økonomiske tab eller endda fysisk skade i visse tilfælde.
Ved at begrænse medarbejdernes adgange beskytter samtidig dine ansatte mod at begå utilsigtede fejl. Langt de fleste mennesker ønsker jo ikke at begå fejl med vilje. Og hvis de ikke har muligheden, så får du gladere og tryggere medarbejdere.
Øg beskyttelsen mod eksterne trusler og interne sårbarheder
For brede adgang til personoplysninger øger også risikoen for:
- Udnyttelse af sårbarheder i IT-systemer, hvor hackere kan tilegne sig privilegierede adgange.
- Misbrug af superbrugerrettigheder, som gør det muligt at omgå sikkerhedsforanstaltninger
- Tab af adgangslogning, som gør det svært at spore og forebygge misbrug.
For eksempel kan en ondsindet medarbejder med for mange rettigheder slette alarmer eller logge sig ind i flere systemer end nødvendigt, hvilket gør din virksomhed sårbar over for både interne og eksterne trusler. Også derfor skal du begrænse medarbejdernes adgang.
Overhold lovgivningen og undgå alvorlige brud
Databeskyttelsesreglerne stiller krav om, at adgange til personoplysninger er nødvendige, proportionale og kontrollerede.
Det betyder, at du løbende skal sikre, at dine medarbejdere kun har de adgange, de har behov for, i forhold til de opgaver de skal løse. For eksempel, så skal du tjekke Bentes adgange, når hun flytter fra Lønkontoret til Økonomiafdelingen.
Konkret så anbefaler Datatilsynet, at du
- Tildeler, ændrer og fjerner adgange baseret på medarbejderne rolle og arbejdsopgaver, også kaldet rollebaserede adgangsrettigheder.
- Foretager periodisk gennemgang af adgange og rettigheder. Det betyder, at du jævnligt skal kontrollere, at dine medarbejdere stadig har de nødvendige adgange ved at begrænse medarbejdernes adgang, så de ikke længere har unødvendige adgange. Det kan for eksempel være ved afslutning af projektarbejder eller ændringer i stilling og ansættelsesforhold.
- Holder øje med hvem, der har adgang til hvilke personoplysninger og andre kritiske virksomehdsdata, og hvad de pågældende brugere foretager sig med disse adgange. Det skal du gøre ved at følge op på loggen i de IT-systemer, hvor der behandles personoplysninger. Du kan prioritere dit tilsyn ud fra en risikobaseret tilgang ved at tjekke loggen oftere i de IT-systemer, der indeholder de mere kritiske personoplysninger.
En af de hyppigste årsager til anmeldte brud er netop, at medarbejdere har for bred adgang til data, som de ikke har behov for. Dette kan medføre alvorlige sager, som kan påføre de registrerede betydelig skade, og hvor organisationer bliver får alvorlig kritik eller blive pålagt store bøder. Også derfor er det vigtigt at begrænse medarbejdernes adgang.
Så fristes de heller ikke til at slå op i oplysninger, de ikke har behov for.
Sikkerhed og tillid går hånd i hånd
At begrænse medarbejdernes adgang til personoplysninger handler ikke om mistillid, men om at beskytte både din virksomhed, medarbejderne og ikke mindst og de personer, hvis oplysninger behandles.
Ved at følge princippet om “adgang efter behov” og implementere robuste principper for rettighedsstyring, kan du reducere risikoen for sikkerhedsbrud, sikre overholdelse af GDPR og opretholde tilliden fra kunder, medarbejdere og myndigheder.
Så få kigget på din adgangsstyring i dag – og luk ned for unødvendige risici.
Nu da du ved, hvor afgørende det er at begrænse medarbejdernes adgang til personoplysninger, så kom i gang med at få styr på din rettighedsstyring. Det koster dig ikke noget, men effekten kan være stor.
Det er lettere end du tror, og det kan lukke ned for unødvendige risici hurtigt og effektivt, før du står med et ubehageligt datasikkerhedsbrud.
Fredagsfinten leverer små, lette tips og tricks til at forbedre din GDPR og din IT- og Informationssikkerhed i hverdagen.