Hvad er datasikkerhed?
Datasikkerhed er en generel betegnelse for alle foranstaltninger, du kan foretage for at vogte jeres data og jeres kunders personoplysninger.
Virksomheder skal ifølge Databeskyttelsesloven beskytte sine kunders, medarbejderes og andre parters data, heriblandt deres persondata. De skal beskyttes både internt (fra personer i virksomheden) og eksternt (fra f.eks. hackere).
Det er op til virksomheden selv at implementere tilstrækkelige foranstaltninger til at beskytte data. Datatilsynet inddeler de foranstaltninger i to kategorier:
- Tekniske foranstaltninger
- Organisatoriske foranstaltninger
I hvilken grad eller hvad der er passende for jeres virksomhed, skal I altså selv vurdere. Det kræver blandt andet, at I laver en risikovurdering og en konsekvensanalyse af jeres databeskyttelse.
Det er desuden vigtigt, at I kan dokumentere, at I har foretaget de nødvendige foranstaltninger, at I har foretaget de nødvendige foranstaltninger, og at I løbende vurderer, hvorvidt de er tilstrækkelige til at beskytte de personoplysninger, I håndterer.
Udover Datatilsynets vejledninger, kan I også støtte jer op ad en række anerkendte standarder, såsom:
- ISO 29151
- ISO 29134
- ISO 27001
For yderligere information, besøg International Organization for Standards. Som databehandler er det også vigtigt at vide, at selvom I følger standarder og vejledninger, er det ikke ensbetydende med, at I har levet op til GDPR og databeskyttelsesloven. Det er derfor vigtigt, at I har en systematisk, professionel og struktureret tilgang til opgaven.
Hvis der håndteres følsomme personoplysninger, kan det være nødvendigt at tilvælge eller opruste med yderligere foranstaltninger.
Teknisk databeskyttelse
Tekniske foranstaltninger er alle former for sikkerhed, der beror på digitale værktøjer og IT-infrastruktur. De eksisterer altså hovedsageligt på computeren eller serveren.
Det kan eksempelvis være:
- Firewalls
- Adgangskoder
- To-faktor-godkendelse
- Kryptering
- Logging af datahåndtering
- Differentieret administrativ adgang
- Lagring af data i niveauer (så et brud ikke giver adgang til al data)
- Anti-virus
- Backup
Organisatorisk databeskyttelse
Organisatoriske foranstaltninger er den datasikkerhed, der involverer mennesker og processer. Her sikres data ved, at medarbejderne oplæres og følger instrukser, der er med til at forhindre utilsigtede fejl eller bevidst kompromittering af personoplysninger.
Dette dækker blandt andet over:
- Procedurer for datahåndtering
- Adgangstilladelser og rollefordeling
- Sikkerhedskurser
- Uddannelse af medarbejdere
- Risiko- og konskvensvurderinger
- Handlingsplaner ved brud på persondatasikkerhed