Passende tekniske og organisatoriske foranstaltninger
Som nævnt under punktet "Hvad er dine forpligtelser?" skal den dataansvarlige sikre, at databeskyttelsen varetages igennem "passende tekniske og organisatoriske foranstaltninger".
Hvad der er "passende", er især op til en vurdering af de risici, som behandlingen indebærer for de registrerede, og evt. en konsekvensanalyse vedr. databeskyttelse. Du skal også kunne dokumentere, at du har truffet foranstaltninger der opfylder kravene i databeskyttelsesreglerne.
Som bidrag til denne vurdering er du i høj grad hjulpet af forskellige anderkendte standarder og vejledende tekster, hvor du kan finde værktøjer, samt generiske lister over potentielle trusler og foranstaltninger:
Efterlevelse af eller certificering efter en af de nævnte standarder eller vejledninger er dog ikke ensbetydende med, at man har efterlevet databeskyttelsesforordningen.
Visse værktøjer, der kan bidrage til beskyttelsen af personoplysninger, kan gå under betegnelsen "privatlivsfremmende teknologier" (Privacy Enhancing Technologies), fordi beskyttelsen af privatliv og beskyttelsen af personoplysninger hænger sammen.
For at nå i mål med beskyttelsen af personoplysninger kræves en professionel, struktureret og systematisk tilgang til opgaven, og især i store og mellemstore organisationer, kræver det endvidere ledelsens fokus og opbakning.
Da it-projekter ofte er komplekse og med mange deltagere, er det typisk en hjælp, hvis der anvendes en projektmodel, som sikrer tilstrækkelig tid og ressourcer på de rigtige tidspunkter i tidsplanen, eksempelvis til afdækning af lovkrav, risikovurdering/konsekvensanalyse og implementering af databeskyttelse gennem design og standardindstillinger.
Behandlingssikkerhed
En vigtig del af "beskyttelsen af personoplysninger" handler om behandlingssikkerhed.
Som dataansvarlig eller databehandler er du ansvarlig for, at beskytte personoplysningerne mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, ved hjælp af passende tekniske og organisatoriske foranstaltninger.
Hvis personoplysninger f.eks. kommer til uvedkommendes kendskab, bliver ændret, beskadiget eller går tabt kan det krænke personers rettigheder. Derfor skal du sikre personoplysningernes fortrolighed, tilgængelighed og integritet.
Hvordan skal man håndtere personoplysninger?
Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt.
Hvis risikoen må antages at være stor, må behandlingen af personoplysninger ikke påbegyndes, før der er gennemført en konsekvensanalyse vedrørende databeskyttelse og eventuelt en høring af Datatilsynet.
Når it-løsninger designes og udvikles, skal databeskyttelse tænkes ind fra starten, og standardindstillinger skal sikre, at der kun behandles de personoplysninger, som er nødvendige i forhold til formålet med behandlingen.
Hvis det går galt, og man som dataansvarlig bliver bekendt med et brud på persondatasikkerheden, skal man uden unødig forsinkelse give besked til Datatilsynet og i visse tilfælde også til de personer, hvis oplysninger er berørt af sikkerhedsbruddet. Databehandlere, som bliver bekendt med et brud på persondatasikkerheden, skal uden unødig forsinkelse underrette den dataansvarlige.
Du kan anmelde sikkerhedsbrud her.
Beskyttelse af personoplysninger fra vugge til grav
Et it-systems udvikling, indkøb, tilpasning, test, anvendelse, vedligehold og afvikling, er alle faser, hvor du som dataansvarlig eller databehandler har mulighed for at påvirke beskyttelsen af personoplysninger.
Under faser som udvikling, indkøb og tilpasning skal databeskyttelse indbygges i designet og standardindstillingerne.
Sikkerhedstest er især relevant ved nye it-systemer og ved ændring i eksisterende it-systemer, men her taler vi ikke om brugertest, hvor man primært tester for tiltænkt funktionalitet. Sikkerhedstest handler primært om at finde ud af, hvordan personoplysningers fortrolighed, integritet eller tilgængelighed kan påvirkes negativt. Det er typisk afprøvning af effekten af foranstaltningerne – hvorvidt de virker efter hensigten og, om de er tilstrækkelige. Den slags tests kræver typisk specifik ekspertise og værktøjer, eksempelvis angående:
- Test af omgåelse af login (herunder problemstillinger som 'brute force'-angreb, sessionsstyring, udstedelse af nyt log-in, single-sign-on).
- Test for utilgængelighed, f.eks. via overbelastningsangreb eller udnyttelse af sårbarheder.
- Sårbarhedstest af f.eks. en web-applikation.
- Kodegennemgang af f.eks. en app til smartphone.
- Penetreringstest på f.eks. netværksudstyr og servere.
Andre relevante sikkerhedstests kan eksempelvis handle om, hvorvidt brugere kan snydes til at udlevere en personlig adgangskode til et it-system. Test af den fysiske beskyttelse af personoplysninger kan handle om at teste eksempelvis indbrudssikring, alarmsystemer, nødstrøm og brandslukningsmateriel.
I forhold til vedligehold/afvikling/bortskaffelse af it-udstyr, handler beskyttelsen af personoplysninger om at få slettet disse oplysninger effektivt fra udstyr, der ikke længere skal anvendes.
I perioden hvor it-systemet anvendes til behandling af personoplysninger (almindelig drift), skal du også tænke beskyttelse af personoplysninger. Den etablerede beskyttelse kan ophøre med at være tilstrækkelig, fordi din behandling af personoplysninger, og konteksten den foregår i, normalt ændrer sig over tid. Men selvom behandlingen eller konteksten ikke ændrer sig, så opstår der nye trusler, som gør, at de allerede etablerede foranstaltninger, kan ophøre med at være tilstrækkelige.
For at bibeholde et vist niveau i beskyttelsen af personoplysningers fortrolighed, integritet og tilgængelighed, er du som dataansvarlig/databehandler ansvarlig for regelmæssigt at afprøve, vurdere og evaluere effektiviteten af de eksisterende tekniske og organisatoriske foranstaltninger. Det gælder for så vidt alle foranstaltningerne i alle faserne fra vugge til grav.
Ransomware er et eksempel på en relativt ny trussel, der har givet nogle dataansvarlige behov for nye tiltag. Det samme gør sig gældende inden for fysisk sikkerhed ift. beskyttelsen af personoplysninger, hvor eksempelvis truslen fra opstigende vand og oversvømmelse ændrer sig med klimaet.
Forsvar i dybden med it-sikkerhed
"Forsvar i dybden" er et gammelt militært begreb, men det anvendes også inden for it-sikkerhed, fordi mange af de samme udfordringer gør sig gældende, når det kommer til at beskytte data mod ondsindede angreb samt mod bevidst eller ubevist misbrug. Det er en anderkendelse af, at effektiv beskyttelse af data ikke kan opnås ved en enkelt foranstaltning.
En firewall giver ikke fuld beskyttelse, fordi den måske kan omgås pga. en sårbarhed i softwaren, eller fordi der er etableret en nødvendig netværksåbning gennem firewall'en, eller fordi ondsindet software er kommet ind via en USB-opkoblet enhed, eller af anden årsag. Men hvis en firewall omgås, bør det ikke indebære, at personoplysningerne på et firmas interne netværk af den grund er helt ubeskyttede.
De førnævnte tekniske og organisatoriske foranstaltninger, skal altså udgøre flere "lag", der tilsammen skaber en tilstrækkelig beskyttelse af personoplysningerne. Forskellige foranstaltninger reducerer eller eliminerer forskellige risici, og dermed øger de hver især beskyttelsen.
Mere hjælp
At finde det rette sikkerhedsniveau kan være en kompleks opgave. Uanset om du har ekspertise på dette område, kan det være en hjælp, hvis du anvender allerede etablerede standarder, som kan guide dig igennem processen. Endvidere vejleder og rådgiver Datatilsynet om spørgsmål inden for databeskyttelsesforordningen og databeskyttelsesloven.
Brancheforeninger og lignende har mulighed for at udarbejde og få godkendt adfærdskodekser, som et nyttigt redskab for især små og mellemstore virksomheder til at hjælpe med at beskytte personoplysninger.
Læs mere i Datatilsynets vejledning om adfærdskodekser.