Katalog over foranstaltninger

Her finder du et katalog over sikkerhedsforanstaltninger, som virksomheder og myndigheder kan overveje i forskellige sammenhænge.

Om kataloget

Kataloget er en samling beskrivelser af tekniske og organisatoriske foranstaltninger, som kan være relevante at overveje for at sikre passende sikkerhed, jf. databeskyttelsesforordningens artikel 5, artikel 25 og artikel 32. Beskrivelserne af de enkelte foranstaltninger kan læses individuelt, så kataloget kan fungere som et opslagsværk. For hver foranstaltning angives:

  • Hvilke risici adresseres?
  • Hvilke tiltag kan overvejes?
  • Hvornår er foranstaltningen nødvendig?
  • Links til relevante afgørelser, vejledningsmateriale, mv.

Foranstaltningers værdi kan afhænge meget af, hvilke andre foranstaltninger der er etableret, og kataloget er derfor hverken udtømmende eller absolut i forhold til, om der er iværksat det fornødne for at opnå en tilstrækkelig grad af behandlingssikkerhed.

De anvendte eksempler er i høj grad baseret på Datatilsynets erfaringer fra bl.a. tilsyn hos private virksomheder og offentlige myndigheder, behandling af brud på persondatasikkerheden anmeldt til Datatilsynet, EDPB’s retningslinjer og krav til informationssikkerhed, der fremhæves af ISO-standarder for informationssikkerhed, Center for Cybersikkerhed og sikkerhedskrav til statslige myndigheder.

Eksterne ordbøger

Her kan du også finde ordbøger med begreber angående cybersikkerhed:

Hvad er en foranstaltning?

Foranstaltninger er tiltag, der bevarer og/eller ændrer en risiko. En foranstaltning kan være forebyggende, opdagende, korrigerende eller en kombination af disse. Det er nærmere forklaret i hver foranstaltning, hvilke risici, den påvirker, således, at det nemmere kan relateres til organisationens egne risikovurderinger.

Tekniske foranstaltninger er fx it-løsninger til brugeradministrering, automatisk kryptering/sletning, automatisk adgangskontrol (log-in), fysiske døre og låse.

Organisatoriske foranstaltninger er fx sikkerhedspolitikker, procedure for jævnlig kontrol af adgangsrettigheder, uddannelse i korrekt anvendelse af it-løsninger (altså kompetencer), vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.

I standarder (som ISO 27001) og lærebøger kan foranstaltninger være opdelt i yderligere kategorier, fx "fysiske", "personrelaterede" eller "adfærdsmæssige". Imidlertid beskriver databeskyttelsesforordningen kun kategorierne "tekniske" og "organisatoriske", så eksemplerne herover dækker det hele. Når der står fx fysiske låse kan dette betegnes som en fysisk foranstaltning, men også som endnu en teknisk foranstaltning. Uddannelse kan betegnes som en personrelateret eller adfærdsmæssig foranstaltning, men også som endnu en organisatorisk foranstaltning.

Det er ikke afgørende, i hvilken kategori man kan placere en foranstaltning. Det afgørende er, at der er etableret tilstrækkelige foranstaltninger til at sikre et sikkerhedsniveau, som kan beskytte behandlinger af personoplysninger – og forretningen.

”Tiltag” er et udtryk, som anvendes meget i kataloget, og det er reelt også en foranstaltning. En firewall kan beskrives som en foranstaltning, men for at den skal have tilstrækkeligt beskyttende effekt, skal der mere til end indkøb og installation af en software- eller hardware-firewall. En firewall skal opsættes, administreres og holdes opdateret på korrekt vis, og dertil kommer, at en organisation typisk vil have en fordel af flere firewalls, der administreres forskelligt. En foranstaltning, der beskrives som ”Firewall”, vil dermed reelt bestå af mange tiltag – ofte en blanding af noget teknisk og noget organisatorisk. Disse tiltag kunne hver især beskrives som selvstændige foranstaltninger, men for at undgå forvirring kaldes de ”tiltag” i dette katalog.

Se de enkelte foranstaltninger