Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2018 // Kom sikkert i mål med den kommende persondataforordning

Kom sikkert i mål med den kommende persondataforordning

Artikel

14-03-2018

Kom sikkert i mål med den kommende persondataforordning

Hvilke data er persondata? Er data i CRM-systemet omfattet af forordningen? Hvad er forskellen på databehandler og dataansvarlig? GDPR (General Data Protection Regulation) eller Persondataforordningen, som den hedder på dansk, bringer mange spørgsmål på banen.

Den 25. maj træder EU’s persondataforordning i kraft. Her er mange mindre virksomheder stadig i tvivl om, hvordan de skal håndtere datareglerne. De ser datareglerne som uoverskuelige og tidskrævende og mangler en metode for, hvordan de griber det an.

Få overblik over data, og hvordan I behandler dem 

Det er en meget typisk udfordring og usikkerhed, som Jan Berg møder, når han er ude at rådgive. Han er seniorkonsulent i data og compliance hos REVI IT. 

"Det første, man skal gøre, er at finde ud af, om man lusker eller roder med data, og hvis man gør det, skal man skynde sig at få ryddet op. Det næste er, at få udarbejdet en fortegnelse, altså et overblik over, hvilke behandlinger man har i virksomheden. For det handler ikke om, at du ikke må have data liggende. Det handler om, hvordan du behandler dine data", siger han.

Sæt GDPR på den strategiske dagsorden

En anden ting er, at få GDPR på virksomhedens agenda.

“Vil man gøre noget, og hvordan vil man gøre det? Har man selv ressourcerne til det, eller skal man ud og købe nye våben, der kan løfte det? Der ligger også en kommunikationsopgave i forhold til medarbejderne. Hvis man har fundet ud af, at nogle af virksomhedens databehandlinger er fuldstændig forkerte, er man nødt til at have medarbejderne med. Det kræver træning og undervisning at få dem til at efterfølge det,” forklarer han.

Læg en projektplan for, hvordan I kommer i mål – også efter skæringsdatoen den 25. maj, hvor forordningen træder i kraft.

Kort fortalt handler det om at få lavet et årshjul, starte en fortegnelse, og lægge en plan for implementering. Og lave dokumentation, så Datatilsynet kan se, hvad I har gjort. Det kan ifølge Jan Berg løses ved at åbne et worddokument og skrive, hvad man har gjort og hvornår. Jo bedre du kan dokumentere, at du gør noget for at have orden i dine data, desto stærkere står du.

“Det er ledelsens ansvar, og hvis jeg sad i ledelsens i et firma, så ville jeg gøre det her til et fast punkt på bestyrelsesmøderne, så man er sikker på, at det bliver diskuteret, og der bliver gjort noget. For i bund og grund kan man risikere bøder på 20 millioner euro plus de oprydningsomkostninger, man kan få, hvis man er uheldig at blive ramt og ikke har styr på sine data,” siger han og forklarer, at der også er tab af omdømme på spil.

“Hvis du er teleselskab, og dine data bliver lækket, er der nok mange, der vil overveje at flytte selskab. Hvis man derimod sætter tid af til det, er det relativt nemt at få kortlagt sine data,” slutter Jan Berg.

Cyberangreb kan ramme både maleren og Mærsk

Man kan ikke snakke GDPR uden at nævne datasikkerhed, fordi brud på it-sikkerheden kan ramme alle. Sådan lyder det fra Berit Skjernaa, Senior Security and Privacy Specialist i Security Lab i Alexandra Instituttet.

Kriminaliteten har været faldende de fleste steder i Danmark, lige undtagen inden for it-kriminalitet. Politiet plejer at beskrive hackerne som nogen, der sidder i en høj bygning og er meget velorganiserede. Der kommer især meget CEO-fraud – eller direktørsvindel – hvor en hacker udgiver sig for at være en person fra virksomheden og fx beder en regnskabsmedarbejder om at overføre penge til en konto. En anden type angreb der rammer danske virksomheder er ransomware, hvor kriminelle krypterer virksomhedens filer og kræver en løsesum.

“Vi har fx set det med en tømrervirksomhed, der blev ramt af malware, fordi de ikke havde styr på deres aftale om backup. Der er også malerbutikken, hvor skærmen gik i sort, så de ikke kunne komme til deres system i ti dage. Det helt store nedbrud er selvfølgelig det, som Mærsk havde i juni sidste år. Det var ikke fordi, Mærsk ikke havde gjort noget for at modvirke det. Men der var et behov for at gøre endnu mere,” fortæller Berit Skjernaa.

Giv jeres smarte produkter et Sikkerhedstjek

Et andet udsat område er smarte produkter. Et af de mest kendte eksempler er firehjulstrækkeren fra Chrysler, hvor hackere kunne bremse bilen. Der er også eksempler med smarte elpærer og en døråbner. Også inden for sundhed er der eksempler med en pacemaker og en insulinsprøjte. Der er så vidt vides kke sket misbrug endnu, men man har vist, at det kan lade sig gøre at hacke insulinsprøjten og ændre dosis. Et andet eksempel er GPS-ure, der kan vise forældre, hvor deres børn er. Ulempen er, at alle andre også kan se, hvor børnene er på grund af manglende sikkerhed.

“Det kan være smart at være på nettet. Men det er ikke smart, hvis det ikke er sikkert. Eksemplerne viser, at hvis sikkerheden ikke er tænkt ind alle steder, kan hackere gå ind og få oplysninger, de ikke skulle have haft, overtage styringen eller forhindre adgang. Og hvis der er personer involveret, kan det gå hen og blive meget følsomt", forklarer Berit Skjernaa.

Hvad kan I gøre som virksomhed? Et godt sted at starte er Sikkerhedstjekket, som Rådet for Digital Sikkerhed står bag. Her kan man få en god indikation af, hvor godt man klarer sig, og hvor man halter efter.

Fortsæt med at have styr på backup og opdateringer

Derudover er der mere klassiske forholdsregler som at sørge for at tage backup og opdatere antivirus, software og firewalls. Sørg for, at alle systemer er opdateret, og at også leverandører har styr på opdateringer. Det er også vigtigt at skabe en bevidsthed blandt medarbejderne om it-sikkerhed, så de forstår, hvad de skal være opmærksomme på.

“Set i forhold til GDPR er det vigtigt at få et overblik over, hvilke data virksomheden ligger inde med. Er det persondata, eller er det kritiske data for ens kunder, og hvem har adgang til dem? Hav styr på, om medarbejderne får frataget deres adgang til disse data, når de fx forlader virksomheden", siger Berit Skjernaa.

Gør overholdelse af GDPR til en del af jeres ydelse

Det handler også om, hvilken tilgang man har i virksomheden. Forordningen slår et slag for minimering af data, hvilket betyder, at man ikke må samle flere data, end man har brug for. Jo færre systemer man har, jo nemmere bliver det også at overskue og dermed nemmere at overholde forordningen.

“Der er nogen, der siger, at de kun lige skal overholde forordningen for at have rygdækning. Andre siger, at de skal have det som en del af deres ydelse, og for dem står og falder deres image med det her. Hvordan man går til det, afhænger meget af, hvilken opfattelse man har,” forklarer Berit Skjernaa.

Rådene og anbefalingerne stammer fra en workshop, som innovationsnetværket Infinit og it-forum afholdt den 1. februar 2018 på Erhvervsakademi Midt/Vest.

Blandt oplægsholderne var Laura Lynggaard Nielsen og Berit Skjernaa fra Alexandra Instituttet og Jan Berg fra REVI IT. 

Profilbillede af Berit Skjernaa
Senior Security and Privacy Specialist, PhD
+45 26 58 53 73
Åbogade 34, 8200 Aarhus N
Nygaard bygningen, 3. etage lokale 375

Hvad betyder forordningen?

Persondataforordningen (GDPR), der træder i kraft 25. maj 2018, sætter ekstra fokus på datasikkerhed og behandling af persondata. Hensigten er at skabe fælles EU-regler, der er nemmere for virksomheder at følge. Brud på reglerne kan medføre bøder på op til 20 mio. euro!

Forordningen medfører især tre ting:

  1. Den viderefører kravet om samtykke. Den dataansvarlige skal kunne påvise, at den registrerede har afgivet samtykke. Samtykket skal samtidig kommunikeres i et let og forståeligt sprog.
  2. Man har ret til at se sine data, og til at blive slettet. Man har også ret til at flytte sine data fra et system til et andet.
  3. GDPR indfører principper om Privacy by Design, der indebærer et højt niveau af privatlivsbeskyttelse, der er tænkt ind i systemer og den måde som virksomheden behandler persondata.

Har jeres virksomhed brug for at vide mere om, hvad forordningen betyder for jer, er I velkomne til at kontakte en af Alexandra Instituttets eksperter i it-sikkerhed.

.