Automatisk lukning af inaktive adgange

Flere brugeradgange giver en større "angrebsflade" for ondsindede aktører – de har så at sige flere legoklodser til at opbygge deres angreb med. Inaktive adgange udgør dermed en unødvendig risiko. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at en (unødvendig) brugeradgang misbruges.

Inaktivitet er ofte et tegn på, at adgangen er unødvendig, og inaktive adgange kan nemmere blive misbrugt i længere tid, uden at den retmæssige bruger opdager det, fordi vedkommende ikke selv anvender adgangen.

Der etableres automatisk lukning af adgange, som ikke har været anvendt i en periode – eksempelvis 40 dage. Hvor funktionen er indbygget i it-systemet, tilvælges den. Alternativt fastsættes en manuel procedure. For at sikre ensartet administrering styres det så vidt muligt centralt fra et brugerstyringssystem, i stedet for lokalt i de enkelte fagsystemer.

Ovenstående tiltag eliminerer ikke behovet for andre tiltag, der angår lukning af unødvendige adgange. Unødvendige adgange skal lukkes hurtigst muligt for at minimere førnævnte "angrebsflade". Endvidere kan en bruger vælge bevidst at anvende en adgang med jævne mellemrum for at omgå den automatiske lukning.

Det er en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante. Tiltagene sikrer ikke i sig selv imod bevidst misbrug, og tiltagenes værdi afhænger meget af, hvad der ellers gøres for at sikre hurtig lukning af unødvendige adgange.

Forordningens artikel 25: Ved udvikling eller erhvervelse af nyt it-system eller udvikling/ændring i eksisterende it-system skal databeskyttelse være tænkt ind i design og standardindstillinger. Automatisk lukning kræver, at funktionaliteten er indbygget i it-systemet, som styrer adgangen.