Datatilsynet ser i øjeblikket flere brud på persondatasikkerheden, hvor software er blevet downloadet og anvendt af medarbejdere, uden at arbejdsgiveren var klar over det eller havde godkendt det. I de konkrete sager drejede det sig om en gratis PDF-editor, som medarbejderne blev ”lokket” til at downloade og installere af et banner på en ellers troværdig hjemmeside, som efterfølgende vidste sig at indeholde malware, der inficerede computerne.
Det kan som arbejdsgiver være svært at helgardere sig mod, at medarbejdere downloader sådanne programmer, fordi det ikke altid er nok, at brugere f.eks. ikke har de rettigheder, der gør det muligt at downloade og installere programmer på deres computere uden godkendelse. Derfor er det først og fremmest nødvendigt at have klare retningslinjer for download og anvendelse af software, herunder også regler om, at medarbejdere ikke må downloade og installere software, der ikke er godkendt af arbejdsgiveren.
Derudover bør man også overveje, om det er nødvendigt at anvende en teknologi, der kan håndhæve, at kun godkendt software kan downloades og installeres. På den måde er man sikker på, hvilken software, der benyttes, og det giver – udover sikkerheden – også overblik over licenser og rettigheder til anvendt software.
Du kan læse mere om begrænsning af administrative rettigheder i Datatilsynets foranstaltningskatalog her og om positivliste over applikationer i vejledningen ”Cyberforsvar der virker” fra CFCS, som du finder her: vejledning-cyberforsvar-der-virker-2023.pdf.