Foranstaltning:

Logning af brugeradministrators handlinger


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Denne foranstaltning har reelt samme formål som foranstaltningen Logning af brugernes anvendelser af personoplysninger, men kravene til indholdet i loggen kan være anderledes, fordi fokus skal være på at kunne spotte misbrug af brugeradministrators adgangsrettigheder.

Kontrol af en brugeradministrators handlinger kan have et andet fokus og en anden frekvens end kontrol af andre brugeres handlinger. Om kontrol via stikprøver, se beskrivelsen af tiltag under foranstaltningen Stikprøver i log over brugernes anvendelser af personoplysninger.

Hvilke tiltag kan overvejes?

Se beskrivelsen af foranstaltningen Logning af brugernes anvendelser af personoplysninger.

Hvornår er foranstaltningen nødvendig?

Samme som foranstaltningen Logning af brugernes anvendelser af personoplysninger. Da brugeradministratoren typisk kan give andre og evt. sig selv adgang til flere it-systemer, er der særlig god grund til at sikre kontrol med denne persons handlinger.

Databeskyttelsesforordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. For at kunne i logge brugeradministrators handlinger, skal funktionaliteten være indbygget i it-systemet, som anvendes til brugeradministrering, herunder særligt den funktionalitet, at loggen skal kunne lagres et sikkert sted, hvor brugeradministratoren ikke kan tilgå/ manipulere den via sine privilegerede adgangsrettigheder.

Vejledninger, der anvender denne foranstaltning