Datatilsynet oplever mange sager, hvor myndigheder ikke overholder GDPR. De har derfor udsendt et katalog med foranstaltninger. Foto: Colorbox
Datatilsynet får rigtig mange sager, hvor myndigheder ikke overholder GDPR.
Især er der mange sager, hvor der snages i personoplysninger, som ikke er relevante for vedkommende – eller at uvedkommende i det hele taget har adgang til systemer og oplysninger.
Derfor har Datatilsynet udsendt et katalog med foranstaltninger, der skal øge sikkerheden og sikre, at GDPR overholdes.
Kataloget rummer i alt 25 foranstaltninger, fx automatisk lukning af inaktive adgange, centraliseret rettighedsstyring, flerfaktorautentifikation, dataadgang efter behov, logning, periodisk kontrol mv.
Her uddybning af tre foranstaltninger:
Adgangsrettigheder efter behov:
Adgangsrettigheder for medarbejdere tilpasses et arbejdsbetinget behov og begrænses i fx muligheder for at læse, tilføje, søge, ændre, udtrække eller slette data.
Hvis der anvendes RPA (Robotic Process Automation) eller lignende, og man i den forbindelse giver adgangsrettigheder til robot-brugere, begrænses deres adgang på samme måde mest muligt.
Økonomisk besparelse på robot-brugerlicenser kan friste til at give en robot så mange adgangsrettigheder som muligt, men en robot-bruger, som har mange rettigheder, kan udgøre en højere risiko, hvis fx en hacker får mulighed for at opnå denne robots adgangsrettigheder.
Centraliseret rettighedsstyring
Der sikres et overblik over alle brugeradgange og en ensartet styring af disse. Opgaven samles organisatorisk hos personer, som får den nødvendige uddannelse til at håndtere netop denne opgave.
Via retningslinjer og/eller tekniske foranstaltninger forbydes/forhindres decentral brugeradministrering. Eksempelvis ved at beslutte at det udelukkende er medarbejdere i den centrale brugeradministrationsenhed, der kan styre adgangsrettigheder.
En teknisk foranstaltning kan fx være en teknisk forhindring af, at medarbejdere kan oprette mapper med adgangsbegrænsning på netværksdrev eller webbaserede fildelingsplatforme som fx SharePoint.
Logning af brugernes anvendelser af personoplysninger
It-systemer udvikles og opsættes, så de logger alle anvendelser af personoplysninger foretaget af brugere, herunder læsning, tilføjelse, søgning (evt. søgekriterium), ændring, udtræk og sletning – uanset hvordan anvendelsen af personoplysninger udføres af brugeren.
Relevante it-systemer udvikles/tilrettes, så der er mulighed for denne logning.
It-systemerne udvikles til at kunne gemme logdata i et specifikt tidsrum, fx de sidste x måneder. Aktivering af automatisk sletning af logs er vigtigt af hensyn til dataminimeringsprincippet.
Kommunalbladet har tidligere skrevet en artikel om, hvad og hvornår du må slå op i systemer. Læs den her: https://www.hk.dk/aktuelt/nyheder/2022/12/21/pas-paa-med-at-slaa-op-i-systemer-uden-grund