Implementering

Når din virksomhed har gennemført de forskellige faser inden for planlægning, GAP-analyser og evaluering, er tiden moden til at implementere de forskellige tiltag, der er nødvendige for, at din virksomhed kan leve op til persondataforordningens krav.

Hos GlobalSequr har vi lagt os op ad ISO27000 og har det komplette framework til at implementere persondataforordningen nemt, hurtigt, billigere og med en højere kvalitet, end din virksomhed selv kan.

Nedenstående model viser de områder, der skal implementeres i forhold til persondataforordningen:

Politikker, procedurer og processer

Disse tre områder hænger sammen, da de definerer det workflow, som er optimalt:

En politik kan være, at i tilfælde af et sikkerhedsbrud, hvor din virksomhed har lækket persondata, skal bestyrelsen informeres indenfor 4 timer. Samtidig skal myndigheder og berørte personer informeres indenfor 72 timer, som der står i lovgivningen.

Proceduren kan være, at et team bestående af CEO, den presseansvarlige og IT-chefen skal samles og iværksætte beredskabsplanen, som også indeholder procesbeskrivelsen.

En procesbeskrivelse har i dette tilfælde til formål at beskrive, hvordan jeres virksomhed håndterer dette læk af persondata på. Beskrivelsen skal have det nødvendige omfang, detaljeringsniveau og længde. En typisk fejl er, at procesbeskrivelser bliver for lange og komplekse – dermed risikerer virksomheden, at processen ikke bliver fulgt, fordi det er for besværligt.

Med den rette procesbeskrivelse skal det være nemt at identificere, hvordan man skal håndtere en given situation, og samtidig skal man have den fulde dokumentation til rådighed. Desto mere man kan kommunikere visuelt desto bedre. Dette kan være i form af flowdiagrammer, tabeller, billeder eller video.

I dette tilfælde kan det betyde, at I indkalder et efterforskningsteam (Incident Response Team), som har til formål at finde ud af:

  • Hvad er der sket?
  • Hvordan er det sket?
  • Hvornår er det sket?

Når I har et overblik over, hvad der er sket, så skal procesbeskrivelsen indeholde, hvordan I kontakter myndighederne og de berørte personer.

Samtykkekrav

Som tidligere skrevet er der 2 typer af persondata, og kravene til samtykke er forskellige:

  • Personidentificerbare data (f.eks. navn, adresse, telefonnummer og e-mail)
    Samtykke
  • Personfølsomme data (f.eks. religion, seksualitet, etnicitet og fagforening)
    Udtrykkeligt samtykke

Det er op til din virksomhed, at I altid kan dokumentere, at I har samtykke, og selvom I har samtykke, så skal behandlingen af persondata stå i mål med den kontekst, som oplysningerne er indsamlet i.

Right to be forgotten:

Dette punkt handler om, at enhver person har ret til at få data slettes, når formålet med at beholde data ikke længere er til stede. Der er følgende grundregler:

  • Det ikke er nødvendigt at behandle persondata for at kunne forfølge formålet
  • Den registrerede trækker sit samtykke tilbage, og der ikke er et andet hjemmelsgrundlag at basere behandlingen på
  • Databehandlingen er ulovlig
  • Sletningen er nødvendig for at opfylde et lovkrav
  • Registreret person er under 16 år gammel

Der er en række situationer, hvor personer ikke kan kræve, at data bliver slettet. Eksempler på dette er:

  • Backup
  • Offentlige myndigheder
  • Banker
  • Bogføringsloven

Dette punkt er specielt vigtigt, fordi der i persondataforordningen er krav om, at sletning af data skal ske uden forsinkelse, og virksomheden skal kunne dokumentere, hvilken type data virksomheden har på privatpersonen, og hvor denne data findes. Dette gælder også for tredjepart, der behandler data på din virksomheds vegne.

Databehandleraftaler

En dataejer kan vælge at overlade det til en anden part at udføre selve den praktiske behandling af personoplysninger på dataejerens vegne.
De, der udfører databehandlingen, betegnes som databehandler. Ansvaret i tilfælde af tab af persondata er delt mellem dataejer og databehandler fra d. 25. maj 2018.

Når der er en situation, hvor der både er en dataejer og en databehandler, skal der være en databehandleraftale på plads mellem parterne. Bemærk at dette også gælder, hvis din virksomhed benytter sig af en ekstern hosting- eller cloududbyder.

Hvis din virksomhed skal have mange databehandleraftaler på plads, er det en rigtig god idé at arbejde med standarder, så det bliver nemmere at implementere og vedligeholde. Der findes ikke en ”one size fits all”, så tilretning til din virksomhed er altid nødvendigt.

Tekniske foranstaltninger

Der er ikke nogle deciderede krav til tekniske foranstaltninger for at leve op til persondataforordningen, men der skal være et passende sikkerhedsniveau. De områder, der nævnes i persondataforordningen, er:

  • Adgangskontrol
  • Sletning af persondata på tværs af systemerne
  • Kryptering
  • Logning

Punktet omkring logning er vagt i forhold til lovgivningen, for der er ikke krav om central logning, SIEM-funktionalitet og analyse af alarmer. Samtidig er der et rapporteringskrav på 72 timer i tilfælde af tab af persondata. Disse to ting er i modstrid med hinanden, så vores anbefaling er, at man får tilknyttet et Security Analytics Centre med Logmanagement/SIEM, som en del af en samlet pakke.

Beredskabsplaner

Alle brud på datasikkerheden, som involverer persondata, skal dokumenteres og indberettes til Datatilsynet og de berørte personer indenfor 72 timer.
Dette kan være en svær opgave, da der kan være mange aspekter i et sikkerhedsbrud. Ofte kan efterforskning være en langvarig og kostbar affære. Hvis man begynder at arbejde målrettet hele processen omkring ”incident management” lige fra truslerne, den potentielle skade, reaktionstiden, mitigerende tiltag, eskalering til ledelse og indkaldelse af et specialistfirma, så er din virksomhed nået langt.

Medarbejderhåndbog og IT-sikkerhedspolitik

En medarbejderhåndbog har til formål at beskrive, hvilke regler og retningslinjer din virksomhed har. Herunder hører også IT-sikkerhed, som enten kan være en separat folder eller en del af selve medarbejderhåndbogen.

Eksempler på, hvad IT-sikkerhedspolitikken kan indeholde er:

  • Hvad må medarbejderne bruge pc’en, smartphones og tablets til?
  • Brug af sociale medier
  • Hvordan skal medarbejderen tilgå data?
  • Hvordan skal medarbejderen behandle data?
  • Hvad er proceduren, når medarbejderen modtager en mistænkelig e-mail?
  • Hvad er proceduren for adgangskoder?
  • Hvornår er data følsomme, og skal disse typer af data håndteres på en speciel måde?
  • Hvilke typer af programmer må medarbejderen installere?

Man kan godt opbygge sin IT-sikkerhedspolitik på baggrund af persondata, men GlobalSequr anbefaler, at man også tænker generel IT-sikkerhed ind i forhold til andre typer af kritisk data.

Privacy by Design og Privacy by Default

Hvis din virksomhed udvikler software eller har internetsystemer, som indeholder persondata, er det vigtigt, at der bliver tænkt Privacy by Design og Privacy per Default ind fra starten, da det ellers er en bekostelig affære at få det implementeret senere.

GlobalSequr kan udarbejde en manual til din virksomhed, hjælpe med at få implementeret håndteringen af disse situationer og foretage pentest af disse systemer.

Uddannelse og awareness

Når virksomhedens har fastlagt, hvordan persondata skal behandles, og der er blevet etableret en IT-politik, skal medarbejderne trænes i dette. Da både typen af persondata, trusselsbilledet og medarbejderne udvikler sig, er det vigtigt, at dette bliver en fast øvelse et par gange om året. Typisk behøver det ikke tage mere end 10-20 minutter og kan håndteres i forbindelse med andre arrangementer. Det vigtigste er, at der kommer en fast procedure omkring det, så retningslinjerne og reglerne bliver overholdt af medarbejderne.

Awareness er et fælles begreb, som kan bestå af følgende elementer:

  • Video eller fysiske møder
  • E-learning
  • Phishingkampagner

Uddannelse og awareness er en kontinuerlig proces, så vi anbefaler, at det bliver en del af det årshjul, der bliver implementeret, når din virksomhed overgår til driftsfasen.