Afgiver en bruger personoplysninger via et website, har de fleste nok en forventning om, at deres data er i trygge hænder. Den kan være baseret på mange faktorer, som at virksomheden har et kendt og velrenommeret brand, at det er oplyst, hvad dataene bruges til eller at websitet har et SSL certificat, er e-mærket m.v.
Føler en bruger eller en kunde sig tryg, er de mere tilbøjelig til at afgive oplysninger. Det kan være deres email, navn, interesser mv., for til gengæld at modtage kommunikation og tilbud fra dig. Reelt set har de dog ingen mulighed for at vide, hvor godt du egentlig passer på deres data eller hvor god din IT-sikkerhed er. De har også en meget ringe mulighed for at gennemskue det.
IT-sikkerhed er i højsædet for at beskytte persondata
Persondataforordningen skal være med til at beskytte forbrugerne. Der er selvfølgelig ingen garanti. Forbrugerne kan dog regne med, at der ikke er nogen webshop eller anden virksomhed, der har lyst til at betale en stor bøde. Derfor håber man at forordningen vil betyde, at virksomhederne vil gøre deres bedste for at leve op til dens regler og dermed beskytte kunders persondata bedre. Bl.a. ved at skrue op for IT-sikkerheden.
Hvilke krav stiller forordningen til IT-sikkerhed?
Bent, hvilke krav stiller forordningen egentlig til IT-sikkerhed?
Bent: Forordningen stiller ikke specifikke krav til sikkerheden. Den skal bare være tilstrækkelig i forhold til virksomhedens størrelse og det teknologiske niveau. Derudover er det klart, at nogle oplysninger, skal man passe bedre på end andre. Man skal især passe på de følsomme personoplysninger og CPR-nummeret. Dermed ikke sagt, at man ikke skal passe på de almindelige personoplysninger. De er bare ikke lige så vigtige, som de følsomme oplysninger og personnummeret.
Datatilsynet har konkret taget stilling til forskellige sikkerhedsforanstaltninger. Datatilsynet kræver, at indsamling og videregivelse af CPR-nummeret og følsomme oplysninger skal sendes krypteret, hvis det sker via en hjemmeside. Hvis en virksomhed derimod sender en email med et personnummer eller en følsom oplysning, er det kun en anbefaling, at man bruger kryptering. Kryptering er med til at forhindre, at uvedkommende opsnapper oplysningerne, fra de sendes fra en emailkonto til en anden.
Hvis du vil vide mere om kryptering, kan du se Datatilsynets vejledning her.
Datatilsynet har også offentliggjort en række konkrete krav til IT-sikkerhed mht. følsomme oplysninger om en virksomheds ansatte. Udover at kravene naturligvis er rettet til oplysninger i personaleforhold, kan de dog også bruges generelt som rettesnor til alle virksomhedens behandlinger.
Disse retningslinjer er dog ikke mejslet i sten og kan ændre sig efterhånden, som teknologien udvikler sig.
Når du vurderer hvor følsomme de personoplysninger du behandler er, er det altså ikke nok kun at forholde dig til om den enkelte oplysning er karakteriseret som en almindelig eller en følsom personoplysning.
Det giver mening, at der ikke stilles specifikke krav om IT-sikkerhed i forordningen. Samtidig stiller det også store krav til, at du selv har et konstant fokus på sikkerheden af dine systemer, procedurer mv.
En risikovurdering af dine digitale kanaler er et krav!
Risikovurdering er både et krav, men også en måde, hvorpå virksomhederne kan arbejde systematisk med IT-sikkerhed for at få et overblik over, hvor der kan være sårbarheder. Det gælder også for ehandelsvirksomheder og virksomheder, der anvender sociale medier til at kommunikere med deres fans osv.
Er du i en kategori af virksomheder, der konstant afprøver og tager nye digitale muligheder i brug, er der grund til at være ekstra vågen. Ny teknologi er ofte mindre afprøvet og gennemtestet for sikkerhedshuller.
Bent, kan du uddybe hvad kravet om risikovurdering betyder?
Bent: For at leve op til det generelle dokumentationskrav, skal virksomheden foretage en vurdering af sin informationssikkerhed. Kravet betyder at alle virksomheder skal foretage en risikovurdering af alle de typiske behandlinger af personoplysninger, de foretager. Man kan, som du nævner, arbejde systematisk med risikovurderingen. I vurderingen kan man bl.a. tage stilling til konsekvenserne for de registrerede, hvis deres oplysninger misbruges og hvad man kan gøre for at forhindre datalæk.
Data Privacy Impact Assesment – hvad skal den bruges til?
Hvis du i stort omfang behandler følsomme oplysninger, skal du sandsynligvis udarbejde en Data Privacy Impact Assesment (DPIA) eller konsekvensanalyse. Det der er afgørende for, om du er forpligtet til at udarbejde en DPIA er, om du foretager behandlinger af persondata, der er af en særlig høj risiko. Det skulle din risikovurdering gerne have afklaret. Bent, hvad skal en sådan DPIA indeholde?
Bent: DPIA’en er en konkret vurdering af en bestemt behandlings sikkerhed, som man kan være forpligtet til at udarbejde og videregive til Datatilsynet, hvis man har en behandling med meget høj risiko. Analysen er en udvidet risikovurdering, hvor man bl.a. kommer ind på, hvad man har gjort for at minimere risikoen, og hvorfor det er nødvendigt at foretage en risikabel behandling. Den skal gennemgå den proces, der sættes i værk ved et sikkerhedsbrud. Den skal indeholde en vurdering af hvilke konsekvenser, det har for din virksomhed og for de registrerede. Det kunne være for dine kunder og nyhedsbrevsmodtagere.
Indtænk Privacy by Default og Design i dine webprojekter
Jeg har før været inde på begrebet Privacy by Default, der handler om at have processer i virksomheden, der sikre at der kun behandles persondata, der er nødvendige for at opfylde behandlingens formål.
Bent, hvad medfører begrebet Privacy by Design?
Bent: Privacy by Design handler om, at når virksomheder f.eks. udvikler en ny webportal, app. osv., så er det et krav at de indtænker hvordan personoplysninger beskyttes bedst muligt. Dette krav til sikkerhed gælder ikke kun for digitale marketing systemer og værktøjer, men også alle andre IT-projekter i virksomheden.
Udover at man har krav til at indtænke beskyttelse af persondata i nye webprojekter og sikre, at man kun indsamler de nødvendige oplysninger, er der også krav om, at man skal kunne dokumentere det. Dog giver forordningen igen ingen specifikke bud på, hvilken dokumentation der skal foreligge.
Jeg er en stor fortaler for, at man i udvikling af webprojekter altid laver en fyldestgørende kravspecifikation. For mig at se, får kravspecifikationen fornyet berettigelse med forordningens indtræden. Indeholder denne stillingtagen til hvilke persondata der er nødvendige at indsamle og hvordan de gennem webservicen bedst muligt sikres, har man god dokumentation for at virksomheden overholder Privacy by Default og Privacy by Design kravet.
Der er rigtig mange positive ting at sige om kravspecifikationer, så måske jeg tager emnet op i et senere blogindlæg?
Dit website er blevet hacket- hvad så?
Desværre sker der sikkerhedsbrister hver eneste dag med fare for at personoplysninger bliver udnyttet til utilsigtede formål. Emails kan blive brugt til udsendelse af spam-mails, der kan være mere eller mindre harmløs. Det er bestemt irriterende at modtage emails, som man ikke har sagt ja til at modtage. Endnu værre er det dog, hvis de indeholder virus eller malware.
Men hvad skal du lige stille op, hvis du er så uheldig at dit website er blevet hacket?
Bent: Ført og fremmest skal du vurdere om der er en fare for at personoplysninger er lækket. Du skal selvfølgelig også forsøge at stoppe det. Derudover har du pligt til at prøve at mindske skaderne, evt. med hjælp fra en IT-ekspert.
Du har desuden pligt til at informere datatilsynet indenfor 72 timer. Det er dog kun et krav, hvis bruddet udgør en risiko for de registrerede. Er der en høj risiko for at deres data kan misbruges, har du også pligt til at underrette de registrerede. Det er der dog også undtagelser til. Har du foretaget tilstrækkelige sikkerhedsforanstaltninger, har du ikke pligt til at kontakte dem. I tilfælde hvor en underretning vil kræve en forholdsmæssig stor indsats, kan der i stedet udsendes en offentlig meddelelse.
Hvad kan du gøre for at sikre persondata
At miste dine webshop kunders navn og historik, er ikke kun fatal for dine kunder, det er det også for din forretning. Datalæk kan betyde at dit brand taber værdi eller konkurrenter får indsigt i forretningsmæssige hemmeligheder om dine kunder og deres købshistorik.
Der er mange ting, som du kan gøre for at sikre din virksomhed og dine kunders data.
Uddannelse af medarbejdere er den bedste sikring
Uddan dine medarbejdere i hvad det vil sige at have et højt sikkerhedsniveau, hvordan de kan forebygge sikkerhedsbrister og angreb, hvordan de spotter sikkerhedsbrud og hvad de skal gøre, hvis det sker. Har du ikke selv ekspertisen, er det en god investering at få hjælp fra en ekstern IT-sikkerhedsekspert. Husk når du uddanner dine medarbejdere at gøre det klart at sikkerhedsbrud både kan forsages af interne brister såvel som eksterne angreb.
Derudover skal medarbejderen selvfølgelig også trænes i persondataforordningens regler.
Sikring af digitale kanaler, databaser m.v.
Det ville være umuligt at lave en udtømmende liste over IT-sikkerhedsforanstaltninger, af samme grund som persondataforordningen ikke angiver specifikke krav. Endvidere varierer kravet til sikkerhed for den enkelte virksomhed. Persondataforordningen tager heldigvis hensyn til virksomheden størrelse. Der er således ikke samme krav til små virksomheder om at tage ligeså omfattende sikkerhedsforanstaltninger, som større virksomheder. Sikkerheden skal dog være tilstrækkelig.
Gode forbyggende foranstaltninger indbefatter bl.a.:
- Brug af bedre passwords og jævnlig udskiftning.
- Begrænsning af hvem der har adgang til f.eks. dit CMS og dit emailsystem. Måske behøver alle ikke at have fuld adgang.
- Jævnlig opdatering af plugins og moduler på dit website – søg for at have de nyeste versioner/opdateringer.
- Antivirus og firewall er et must – disse skal også altid være opdaterede.
- Hyppig back-up!
- SSL-certifikat skal du have på dit website og især hvis du tager imod betalinger her. (PS. Google kan også bedst lide websites med SSL certifikat?)
- Logning af, hvem der har haft adgang til hvilke oplysninger.
- Kryptering og pseudonymisering– især hvis du behandler følsomme persondata.
- Begræns hvor du opbevarer persondata. Vær også opmærksom på at flere store tredjepartssystemer prøver at sikre sig selv ved ikke at tillade, at du videresender og opbevarer persondata i deres systemer – Google Analytics er et godt eksempel!
Husk det ikke er en udtømmende liste, men et godt sted at starte, når du arbejder med IT-sikkerhed.
Måske synes du ligesom jeg, at der er utrolig mange ting, der skal være styr på inden forordningen træder i kraft d. 25. maj. Det er lige om hjørnet, så det kan ikke rigtigt udsættes. Men hvor starter man lige og hvordan sikre du, at du kommer rundt om alle relevante emner, når persondataforordningen skal implementeres i virksomheden. Det vil jeg i det næste blogindlæg prøve at belyse. Jeg lover ikke en nem liste, men jeg vil gøre mit bedste for, at du får et godt overblik.
Du kan stadig nå at stille dine spørgsmål her på eNavigates blog til de mange emner i persondataforordningen. Skriv blot dit spørgsmål i kommentarfeltet.
*Vær opmærksom på, at du ikke kan se dit spørgsmål, før jeg har godkendt det.
