Informationssikkerhed i praksis
Hvis du skal sikre din virksomheds informationssikkerhed i praksis, så skal du kende svaret på følgende spørgsmål:
Behandler du personoplysninger?
Hvilke personoplysninger behandler du?
Hvorfor behandler du personoplysningerne?
Hvordan behandler du personoplysningerne?
Hvor længe behandler du personoplysningerne?
Risikovurdering
Du bør lave en risikovurdering for hver proces (behandlingsaktivitet), hvor der behandles personoplysninger fx personaleadministration, marketing, etc. samt for samtlige informationsaktiviteter fx regnskabssystem, mail, etc.
Kort fortalt, så foretager du en risikovurdering ved at vurdere:
Sandsynligheden for at miste personoplysninger.
Konsekvensen af at miste personoplysninger.
Sat lidt på spidsen, så kunne en risikovurdering sættes på følgende formel:
Høj sandsynlighed + høj konsekvens = Lav en ændring i virksomhedens behandling af personoplysninger.
Lav sandsynlighed + lav konsekvens = Status quo er OK.
Personoplysninger
Helt generelt, så kan personoplysninger være om:
Identificerede personer
Dette er så snart der bare er et navn på en person, så er denne identificeret.
Identificerbare personer
Hvis man har noget information som kan hjælpe med at identificere en person, skal dette også beskyttes. Dette kan være et identifikationsnummer, IP-adresse, lokaliseringsdata, betalingsoplysninger, etc.
De oplysninger, som kan tilknyttes en person, er også omfattet af persondataforordningen. Det skyldes at disse oplysninger er med at fortælle noget om denne person. Det kan være hobbyer, interesser, forbrugsmønstre, adfærd osv. Jo mere information, jo mere beskyttelse er der brug for.
Derudover skelner man mellem:
Almindelige personoplysninger
Dette er navn, e-mail, telefonnummer, adresse samt betalingsoplysninger.
Følsomme personoplysninger
Dette er race og etnisk tilhørsforhold, politisk overbevisning, religiøs overbevisning, filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger og seksuelle forhold og orientering.
Der skal eksplicit bedes omkring samtykke, hvis der skal behandles følsomme personoplysninger. Ellers må disse ikke behandles.
Samt:
Straffedomme og lovovertrædelser.
CPR-nummer, dette er en almindelig personoplysning, men også en fortrolig oplysning. Dette er kun tilladt at behandle, hvis det kræves af hensyn til skat eller lign. Fortrolige oplysninger.
De 7 principper
Ansvarlighed
Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes.
Formålsbegrænsning
Personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, og må ikke viderebehandles på en måde, der er uforenelig med disse formål; videre behandling til arkiv formål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål.
Dataminimering
Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.
Lovlighed, rimelighed og gennemsigtighed
Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
Rigtighed
Personoplysninger skal være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges
Integritet og fortrolighed
Personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Opbevaringsbegrænsning
Personoplysninger skal opbevares på sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkiv formål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder.
Informationssikkerhed
Informationssikkerhed er mere end bare IT-sikkerhed, dette indebærer alt inden for sikkerheden omkring data osv. Inden for en organisation. Dette er også hvis omskoling af ansatte, hvis de skal have ny viden om god opførsel på nettet eller med mails.
Persondatasikkerhed handler om mere end blot firewalls, 2-faktor login, kryptering, som er tekniske sikkerhedsforanstaltninger.
Privacy by design
Proaktivitet
Persondata sikkerhed skal sikres via forebyggelse. Du skal være på forkant med risici og ikke på bagkant. Du skal altså designe dine systemer, processer og infrastruktur, så de fra starten indarbejder passende sikkerhedsforanstaltninger for persondatasikkerheden.
En klar forpligtelse fra ledelsens side
Udviklingen af en kultur om løbende forbedringer hos alle medarbejdere
Fastlæggelse og tildeling af konkrete ansvarsområder
Standard Indstilling
Databeskyttelse skal være standard i dine processer og systemer, og skal således designes ind i behandlingen fra starten.
Hvis en medarbejder i din virksomhed ikke ændrer ved privatlivsindstillingerne, så skal databeskyttelsen allerede være i top for den registrerede, som der behandles personoplysninger omkring.
Du må ikke kræve, at en person skal ændre indstillinger i et system eller en proces for at kunne beskytte personoplysningerne. Det skal allerede være indbygget i systemet fra starten, at personoplysninger behandles efter best practice.
I praksis, så kan dette kræve følgende af en virksomhed:
Kriterierne for dataindsamling skal være så begrænsede som muligt.
Begræns brugen af personoplysninger til de formål, som de blev indsamlet til, og sørg for, at der er et legitimt grundlag for behandlingen.
Begræns adgangen til personoplysninger til de ansatte, der er involveret i behandlingen og på “need to know” basis, og gør dette i overensstemmelse med den enkeltes arbejdsfunktion.
Fastsæt opbevarings frister, og indfør mekanismer der bidrager til at efterleve sletningen af persondata.
Integritet i designet
Privatlivsbeskyttelsen skal være integreret i systemer og processer. Beskyttelsen skal ikke blot være en tilføjelse, efter at systemet er bygget eller processen tilrettelagt.
I praksis, så kan dette kræve følgende af en virksomhed:
Gør det til et krav ved udformningen af virksomhedens organisatoriske processer, og ved udviklingen af IT-systemers livscyklus.
Udfør en risikovurdering, som en del af udviklingen af processer og IT-systemer.
Dokumentér alle beslutninger, der vedtages i virksomheden ud fra perspektivet “privacy by design”.
Fuld funktionalitet
Du bør implementere privacy by design således, at brugeroplevelsen er både sikker og god.
Du bør søge at opnå en synergieffekt, så persondatasikkerhed ikke implementeres på bekostning af andre funktioner.
I praksis, så kan dette kræve følgende af en virksomhed:
Husk, at forskellige interesser kan eksistere på samme tid i en proces eller i en service. Virksomhedens interesse i at behandle data ud fra forretningshensyn kan eksistere sammen med interessen for at beskytte persondata.
Spørg både brugerne og interne interessenter i forhold til deres meninger, og søg en løsning herfra, som kan imødekomme alle hensyn.
Vugge-til-grav
Databeskyttelse skal integreres i hele behandlingen; fra vugge til grav. Data skal
indsamles sikkert, behandles og opbevares sikkert, samt slettes korrekt. For at kunne gøre
dette, så skal det persondatasikkerhed indtænkes fra starten.
I praksis, så kan dette kræve følgende af en virksomhed:
Anvend pseudonymisering og anonymisering.
Kryptering af persondata, sådan at standardtilstanden for persondata ved kompromittering er, at de ikke kan afkodes.
Sikker sletning af oplysningerne ved udløb af behandling.
Synlighed og gennemsigtig
Databehandlingen bør være transparent og tydelig for eksterne, hvilket er vigtigt for at
påvise efterlevelse af reglerne på området, samt udvise troværdighed overfor brugere.
I praksis, så kan dette kræve følgende af en virksomhed:
Udarbejdelse af en privatlivspolitik, samt lignende politik fx ved indhentning samtykke, som kan bruges i praksis i kommunikationen med brugerne ved behandlingen af deres personoplysninger.
Sørg for at have tilgængelige, simple og effektive kommunikationskanaler fx en kontaktformular, så brugerne kan henvende sig angående behandlingen af deres persondata.
Brugerorienteret
Du bør først og fremmest have brugernes hensyn i fokus ved at sikre passende
databeskyttelse, god oplysning, samt en brugervenlig oplevelse.
I praksis, så kan dette kræve følgende af en virksomhed:
Implementering af privacy by default (standardindstillinger), som beskytter personlige oplysninger.
Information til brugerne om konsekvenserne for deres privatliv, hvis de ændrer på fx indstillingerne i et system.
Fuldkomne oplysninger bør stilles til rådighed for brugeren, så de kan afgive et informeret, frit, specifikt og utvetydigt samtykke, og som er eksplicit i de tilfælde, der kræver dette.
Brugerne har adgang til fx en privatlivspolitik med oplysninger omkring behandlingsaktiviteterne, hvor personoplysningerne behandles.
Samtykke
Et samtykke er kun gyldigt, hvis det kan påvise, at du har fået et samtykke fra vedkommende, som der bliver behandlet personoplysninger omkring. Dette skal i de fleste tilfælde gives på skrift.
Et samtykke skal være specifikt, og der må ikke være andre forhold involveret, når der bedes om samtykke. Et enkelt “ja” kan derfor ikke både være samtykke til at sende nyhedsbreve samt dele oplysninger med samarbejdspartnere. Dette er derfor to forskellige behandlinger, som vil kræve to forskellige “jaer”. Det skal også være let for kunden at skelne mellem disse samtykker.
Samtykke skal også gives frit, så man må ikke bede om et samtykke som er betinget af andre forhold. Hvis det er betinget, er det tættere på tvang end samtykke.
Mails
Der skal som minimum bruges TLS v1.2 kryptering hvis der overføres fortrolige eller følsomme oplysninger. Der skal bruges end-to-end kryptering, hvis der er en særlig høj risiko for de implicerede, f.eks. Helbredsoplysninger og lign. Hvis der er tvivl, så send med end-to-end!
Gmail
Der bliver automatisk krypteret med TLS v1.2 når man sender mails med Google, hvis en mail som er modtaget, har et ikon “Ingen TLS” betyder det at afsenderen ikke har sendt med denne kryptering, og vil muligvis ikke kunne modtager dine mails.
Det er muligt at sende end-to-end kryptering i Gmail, men dette kræver at man har en Google Workspace konto, som koster lidt, samt at man skal indstille ens konto til S/MIME.
Der er også en “confidentiality mode” i Gmail, med dette kan man sende en besked til en person, som modtager en kode på SMS. Denne mail vil ikke kunne kopieres, samt sletter sig selv efter et angivet tidspunkt. Dette er ikke kryptering, og vil ikke kunne bruges i stedet for end-to-end.
Outlook
Man kan godt TLS-kryptere mails her, men man skal være opmærksom på hvor gammelt ens styresystem er, samt hvilken udgave af outlook man bruger. Man skal abonnere på Office 365 hvis man vil kryptere ens mails mere, her kan man bruge OME, IRM eller S/MIME til end-to-end kryptering. Modtageren skal ikke nødvendigvis have et abonnement for at kunne læse modtagende e-mails. Ens indbakke kan også krypteres med Bitlocker Drive Encryption, dette er for at sikre at hackere ikke kan få adgang.
Protonmail
Dette er en ekstra sikker mail udbyder, som koster et abonnement på 4€/måned, men man kan også oprette en gratis konto med begrænset lagerplads samt antal af mails som kan sendes.
Protonmail bruger en client-side, end-to-end kryptering, som ikke er almindelig i praksis, men sikre at ens mail udbyder ikke kan læse indholdet af ens mail. Modtageren behøver ikke at bruge protonmail for at modtage.
Protonmail holder desuden ens mails i indbakken krypteret, så hvis der er nogle som tvinger sig adgang, kan de ikke læse mails.
Proton mail har base i Schweiz.
Criptext
Dette er et plug-in til Gmail, som også koster 4€/måned. Ifølge firmaet bliver ens mails krypteret client-side før de bliver sendt til serveren, samt de er krypteret når de ligger her. Man kan også tilbagekalde afsendte mails, følge ens mail samt tidsindstille sletningen af mailen.
Criptext holder til i USA.
NemID
Kan bruges som plug-in til outlook, når både en selv og modtageren af mailen har NemID, så kan man sende og modtage følsomme og fortrolige oplysninger med end-to-end kryptering.
Rmail/Danastar
Dette program kan bruges som plug-in eller separat og giver mulighed for end-to-end kryptering. Samt en del andre services i forbindelse med afsendelse af mails. Man ved dog ikke om mails er krypteret i ens indbakke. Rmail er fra USA, og Danastar er dansk.