Foranstaltning:

Rollebaserede adgangsrettigheder


Senest opdateret 7.11.23.

Hvilke risici adresseres?

I større organisationer med mange it-systemer kan det være en kompleks opgave at vurdere, hvilke adgangsrettigheder der er passende. Det øger sandsynligheden for fejl ved etablering af rettigheder. Rollebaseret adgangstildeling gør det nemmere for den autorisationsansvarlige at vurdere og godkende anmodninger om adgange, fordi det ikke kræver forståelse for adgangsbehov i det enkelte it-system, men blot viden om brugernes roller/opgaver. Dette letter opgaven for alle involverede parter og mindsker derved sandsynligheden for fejl. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at der sker fejl ved tildeling af rettigheder.

Hvilke tiltag kan overvejes?

Adgangsrettigheder grupperes ud fra brugernes roller/opgaver, således at de dækker de mest typiske arbejdsbetingede behov i forhold til den enkelte arbejdsfunktion som fx HR-medarbejder, bogholder, kundesupporter, osv. Det kan samtidigt lette opgaven med at definere adgangsrettigheder på tværs af it-systemer.

Hvornår er foranstaltningen nødvendig?

Behovet afhænger af, hvor komplekst ens it-miljø er. Derfor er det en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante.

Forordningens artikel 25: Ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer skal databeskyttelse være tænkt ind i design og standardindstillinger. Muligheden for at simplificere rettighedstildeling kan afhænge af it-systemernes design.

Vejledninger, der anvender denne foranstaltning