Trin 6

Husk sikkerheden

Husk sikkerheden

Hvorfor IT-sikkerhed?

Cyberangreb rammer både små og store foreninger. Derfor spiller it-sikkerhed en vigtig rolle, når foreningens systemer og personoplysninger skal beskyttes.

Hvis I ikke har tænkt over it-sikkerhed før, så start med de elektroniske enheder, hvor I håndterer personoplysninger, der kræver særlig beskyttelse - fx helbredsoplysninger, CPR-numre og børneattester. Elektroniske enheder er fx PC, tablets, mobil, USB-stik og ekstern harddisk. Men husk at alle dele af it-miljøet skal være sikret, for at beskytte imod cyberangreb.

Praktiske råd til bedre behandlingssikkerhed

SikkerDigital har samlet 7 gode råd om it-sikkerhed, som kan hjælpe små og mellemstore foreninger med at styrke deres basale digitale sikkerhed:  

  1. Få overblik over vigtige data og systemer
  2. Opdater programmer, herunder applikationer, løbende
  3. Anskaf antivirus og firewall*
  4. Tag backup af data, og husk at en kopi af data til en ekstern harddisk ikke er en backup, som er sikret imod cyberangreb**
  5. Lær at spotte mistænkelige e-mails
  6. Lav stærke adgangskoder og anvend multifaktorautentifikation på alt, der kan tilgås fra internettet**
  7. Stil sikkerhedskrav til it-leverandører.

*Datatilsynet stiller ikke krav om, at virksomheder køber bestemte it-løsninger for at overholde GDPR, ligesom vi ikke samarbejder med private virksomheder om salg af it-produkter eller kurser. Læs mere om dette her.

**Datatilsynet har også beskrevet emnet med fokus på, hvad backup kan gøre for beskyttelsen af personoplysninger. Læs om backup som sikkerhedsforanstaltning her. Læs også om, hvad man bør overveje, når der etableres multifaktorautentifikation her.

Læs mere om de 7 gode råd her

Har I outsourcet?

Hvis I har outsourcet it-driften og it-sikkerheden, er det jeres ansvar at stille de rigtige krav til jeres leverandør. Sikkerdigital.dk har udarbejdet en værktøjskasse med vejledning og et spørgeskema, som kan hjælpe jer med at stille de rigtige spørgsmål og krav til jeres it-leverandør.

Find værktøjskassen her

Tænk sikkerhed ind i dine arbejdsprocesser

Sikkerhedsforanstaltninger virker bedst, hvis frivillige og ansatte ved, hvordan de i praksis er med til at beskytte personoplysninger. Den viden skal vedligeholdes og tilpasses løbende, så de pågældende altid ved, hvad de skal gøre for at arbejde på en sikker måde.  

Her finder I en række lavpraktiske råd, der giver god sikkerhed i de daglige arbejdsprocesser – også når man arbejder hjemmefra.

Så risikerer I ikke, at andre uberettiget får adgang til oplysninger om jeres frivillige, medlemmer, ansatte eller foreningens forhold. Det indebærer som minimum, at dit WiFi-udstyr anvender en stæk kryptering og, at adgangskoder til at tilgå og administrere WiFi-udstyrer er selvvalgte, lange og komplekse. Med mindre den er nødvendigt, bør der også være lukket for muligheden for at administrere WiFi-udstyret fra internettet.

Så risikerer I ikke uberettiget adgang til oplysninger om jeres frivillige, medlemmer eller ansatte via jeres elektroniske enheder med personoplysninger.

Når I arbejder på distancen, skal I huske at beskytte jeres elektroniske enheder, som hvis I var på arbejdspladsen. I skal også være opmærksomme på jeres omgivelser, fx hvis I arbejder i toget eller i bussen, hvor andre personer potentielt kan følge med på jeres skærm eller lytte til jeres samtale. Mange elektroniske enheder kan meget nemt sættes op til at kryptere lagringsmediet (harddisk/solid state drive), så data lagret lokalt også er beskyttet, hvis enheden stjæles.

Inden I bortskaffer jeres elektroniske enheder fx mobil, tv, pc og tablet, skal I sikre jer, at enhederne ikke indeholder personoplysninger. Nogle enheder indeholder en funktion, der sletter alle data, men ellers skal I selv sørge for at det sker, eller give udstyret til en leverandør, der sørger for sletning inden udstyret genanvendes. Supplerende kan I sikre jer, at oplysningerne på ingen måde kan tilgås af andre, f.eks. ved kryptering. 

Læs om bortskaffelse af elektroniske udstyr her

 

Brud på persondatasikkerheden kan opstå, når fysiske dokumenter eller elektroniske udstyr med personoplysninger efterlades uden opsyn på steder, hvor uvedkommende har adgang. Det kan typisk være på hotellet, i bilen eller i toget. Sørg for altid for at opbevare jeres dokumenter og enheder et sikkert sted, når de ikke er i brug.

I skal altid have styr på, hvem der har adgang til hvilke systemer og bygninger, samt hvorfor de har adgang. I kan ikke lade enhver have adgang til jeres systemer og bygninger, da sikkerheden forringes og risikoen for brud på persondatasikkerheden øges. I skal derfor begrænse adgangen, så det kun er personer med et arbejdsbetinget behov, der har adgang.  Når en frivillig eller ansat stopper, skal I straks sørge for, at den pågældende ikke længere har adgang til systemer og bygninger.

Du kan læse mere i Datatilsynets vejledning om rettighedsstyring.

 

I kan begrænse jeres ansvar og jeres risiko ved ikke at opbevare flere personoplysninger end nødvendigt og ved ikke at opbevare dem længere end nødvendigt. Jo færre oplysninger I har, jo mindre risiko, hvis data tilgås af uvedkommende, f.eks. i forbindelse med et cyberangreb.

Trin 2: Spørg jer selv "hvorfor?"

I skal være særligt opmærksomme på, hvordan I sender/modtager personoplysninger, der kræver særlig beskyttelse, som f.eks. helbredsoplysninger, CPR-numre og børneattester.

Når I vælger at sende/modtage personoplysninger, er det vigtigste, at I vælger en sikker måde at kommunikere på, så personoplysninger ikke ender i de forkerte hænder.

I kan som regel godt kommunikere sikkert via e-mail.

Du kan læse om, hvordan du sender sikkert her.

Digital Post som f.eks. e-boks er også en sikker måde at kommunikere på. Forsendelse af fysisk brev eller pakke med posten betragtes ligeledes som en sikker kommunikation.

Husk, at hvis I sender elektroniske enheder, f.eks. USB-stik, PC eller ekstern harddisk, som indeholder fortrolige eller følsomme personoplysninger, skal data på enhederne være krypteret på en sådan måde, at uvedkommende, der får fat på enheden, ikke kan prøve sig frem til adgangskoden og derved opnå at dekryptere data.

Se Datatilsynets video om kryptering her

Datatilsynet har samlet 10 ofte sete brud på persondatasikkerheden. Find dem her.

Eksempler

Gå direkte til eksemplerne.

Stadig i tvivl?

Skriv eller ring til os. 

dt@datatilsynet.dk

33 19 32 00

Eksempler

Her kan I se eksempler på gode råd til at beskytte jeres forening generelt. 

Beskyt jeres elektroniske enheder, f.eks. PC, tablet og mobil, ved at sørge for følgende:

  • Sørg for at jeres elektroniske enheder bliver opbevaret på en sådan måde, at uvedkommende ikke kan få fat i dem, f.eks. ved at gemme enhederne væk, når I ikke bruger dem
  • Sørg for at jeres elektroniske enheder er beskyttet med både stærke adgangskoder og kryptering, så uvedkommende, der skulle få fat i enhederne, ikke kan få adgang til data på enhederne.
  • Sørg for backup af oplysningerne på enhederne, så I kan genskabe oplysninger, hvis I skulle miste adgangen til dem.

Det er en god idé at udnævne en person til at sikre, at jeres frivillige/ansatte har kendskab til de mest relevante tips og tricks til at beskytte foreningens personoplysninger. Den frivillige eller ansatte kan f.eks. hjælpe med at spotte falske e-mails, og derved kan I undgå situationer, hvor foreningen ellers ville blive snydt, f.eks. i forbindelse med phishingmails.

En form for bedrageri går ud på, at en medarbejder bliver narret til at overføre foreningens penge til en konto, der ikke tilhører foreningen. Det kan føre til store økonomiske tab. For at forebygge dette bør foreningen have faste og kendte procedurer for pengeoverførsler, som alle med adgang til foreningens midler skal følge.

Er uheldet ude og en frivillig eller ansat trykker på et mistænkeligt link, så sørg for at have en plan for, hvordan situationen håndteres, herunder evt. hvem I skal kontakte for hjælp.

Tilbage til forrige trin

Gå til trin 5

Tilbage til start?

Gå til hovedmenu

Klar til næste trin?

Gå til trin 7