GDPR: Hvad er passende organisatoriske sikkerhedsforanstaltninger?

By 
Henning Mortensen
December 4, 2019

På baggrund af en risikovurdering set fra de registreredes skal de dataansvarlige i henhold til persondataforordningen iværksætte passende organisatoriske sikkerhedsforanstaltninger. I denne artikel vil vi berøre, hvad passende organisatoriske sikkerhedsforanstaltninger egentlig er.

Baggrund

Persondataforordningen er meget sparsom med at komme med eksempler på organisatoriske foranstaltninger. Den nævner dog i artikel 24, stk. 2 at der kan fastsættes passende databeskyttelsespolitikker og i artikel 32 at der skal være en procedure for afprøvning af de tekniske og organisatoriske foranstaltninger. Denne procedure må i sig selv være at betragte som en organisatorisk foranstaltning. Det er derfor i høj grad op til den registrerede at fastslå, hvilke politikker og procedurer, der skal iværksættes som organisatoriske foranstaltninger.

Foranstaltningen giver kun mening i det omfang, at den kan afhjælpe en risiko, og derfor er fokus nedenfor ikke foranstaltningen i sig selv, men den risiko som foranstaltningen kan reducere. Det kan anbefales at læse mere om, hvordan man modellerer trusselsbilledet og laver risikovurdering. Nogle af foranstaltningerne kan afhjælpe flere trusler, men er som hovedregel kun anført ét sted. Nedenfor listes fire forskellige typer trusler med tilhørende organisatoriske foranstaltninger.

Risiko 1: Manglende overblik over risici

  • Risikovurdering
    Der bør laves to risikovurderinger: Den ene er en risikovurdering set fra organisationens perspektiv: Hvad kan gå galt og hvad kan det koste os på bundlinjen. Den anden risikovurdering er den, som kræves af persondataforordningen: En vurdering af, hvilke risici organisationens behandling af personoplysninger udsætter de registrerede for. Risikovurderingerne bør være starten på den røde tråd i sikkerhedsarbejdet, og det er med udgangspunkt i risikovurderingen, at man vælger hvilke konkrete foranstaltninger, der skal iværksættes. I Wired Relations-platformen er risikovurdering allerede indbygget som modul til dette trin i compliance-arbejdet.

Risiko 2: Manglende styring og helhedsbillede af sikkerhed

  • It-sikkerhedspolitik
    Der skal skrives en overordnet IT-sikkerhedspolitik, som kan indeholde en vision, mission og værdier for organisationen. Dokumentet er helt overordnet og beskriver hvorfor sikkerhed er vigtigt for organisationen. Man kan med fordel tage udgangspunkt i ISO27001.
  • ISMS
    Der skal laves en beskrivelse af, hvordan sikkerhedsarbejdet organiseres i form af et såkaldt information security management system. Her beskrives de centrale roller og ansvarsplaceringen. Man kan her med fordel tage udgangspunkt i ISO27001-standarderne.
  • Fortegnelse over informationsaktiver
    Der skal være en oversigt (fortegnelse) over, hvilke informationsaktiver virksomheden er i besiddelse af. Informationsaktiver er fysisk udstyr i form af terminaler, mobilt udstyr, servere, netværkskomponenter, printere, usb-enheder m.v. Hertil kommer logisk udstyr i form af virtuelle servere, virtuelle net, tjenester på nettet osv. Hvert informationsaktiv bør have en ejer, som er ansvarlig for aktivet f.eks. mht. funktionalitet, opdatering og brugeradgang.
  • Et regelsæt baseret på standarder
    Der skal udformes et sæt regler for virksomhedens anvendelse af it. Reglerne skal adressere alle relevante parter – f.eks. en, der er ansvarlig for informationsaktiverne, driften og brugerne. Regelsættet kan med fordel baseres på en standard som f.eks. ISO27002, således, at man sikrer, at man kommer hele vejen rundt om sikkerheden. Regelsættet er det vigtigste supplement til tekniske foranstaltninger. Kan man ikke imødegå en risiko teknologisk, må man imødegå den med en organisatorisk foranstaltning i form af en regel for adfærd ved sikkerhedsbrud.
  • Beredskabsplan
    Der skal være en beredskabsprocedure, som beskriver, hvornår et beredskab skal træde i kraft, hvem der er omfattet af beredskabet, hvilken rolle hver enkelt har, hvordan beredskabet ledes, hvem der kommunikerer og hvilke informationsaktiver, der har hvilken prioritet. Beredskabet bør testes årligt.
  • Håndtering af brugere – før, under og efter ansættelsen
    Der skal være en procedure for håndtering af brugerne og deres roller og rettigheder tillige med ansvaret for fordeling af disse – herunder under ansættelsen og efter ansættelsens ophør.

Risiko 3: Manglende dokumentation og kontrol

  • Dokumentation
    Der skal ske en opsamling af dokumentationen af alle sikkerheds- og compliance-tiltag. De organisatoriske foranstaltninger, GDPR-dokumentationen (f.eks. i Wired Relations), dokumentation af efterlevelse af regler og kontroller (f.eks. i form af logs) m.v. indgår alt sammen i denne dokumentation. Er det ikke dokumenteret, er det ikke gjort.
  • Kontroller til regelsæt
    Der bør udarbejdes en række konkrete kontroller til reglerne, som sikrer, at de kan dokumenteres, og at de efterleves i praksis. Kontrollerne bør være konkrete og gå i dybden, således at de giver et præcist og retvisende billede. Et eksempel på dette kan være, at alle terminaler har alle de seneste opdateringer til alle programmer og at det kontrolleres, at disse opdateres løbende. Regelsættet efter ISO27002 kan udgøres grundlaget for kontroller. Hvis man er ude efter noget lidt mere overordnet kan CIS18 anvendes.
  • Leverandørstyring
    Leverandører bør styres grundigt – særligt i det omfang, hvor de har adgang til forretningskritiske data eller personoplysninger, f.eks. hvis de er databehandler.
    Det skal også besluttes, hvem i organisationen, der må indgå aftaler med leverandører. I det omfang leverandøren har status af at være databehandler, skal man sikre, at der er indgået en databehandleraftale, og efterlevelsen af denne skal kontrolleres. Der kan alternativt være behov for fortrolighedserklæringer eller aftaler om fælles dataansvar. Endelig kan man også vælge løbende at kontrollere de større leverandørers revisionserklæringer og/eller se, hvilke certificeringer de har – f.eks. ISO27001/2, ISO27018, NIST800-53rv eller ISF.

Risiko 4: Ulovlig behandling af personoplysninger

  • Fortegnelse over behandlingsaktiviteter
    Der skal foreligge en fortegnelse over behandlingsaktiviteter, der bl.a. redegør for kategorier af registrerede, kategorier af personoplysninger, formål med behandlingen, kategorier af modtagere, overførsel til tredjelande, tidsfrister for sletning og beskrivelse af foranstaltninger. Foruden fortegnelsen omtalt i artikel 30, skal man også kunne dokumentere efterlevelse af principperne i artikel 5. Man skal ligeledes sikre, at de registrerede er oplyst om behandlingen. Det er således ganske betydelige dele af hele forordningen, som man skal kunne dokumentere, og derfor skal man ikke stirre sig blind alene på artikel 30.
  • Procedurer for behandling af personoplysninger
    I en række konkrete sammenhænge i organisationen kan der være behov for at dokumentere efterlevelse af konkrete procedurer. Det kan f.eks. være håndtering af ansættelse af nyt personale eller arbejdsskadesager. Der bør foreligge procedurebeskrivelser for håndtering af personoplysninger for sådanne gentagne arbejdsgange.
  • Hændelseshåndtering / Databrud
    Der bør være en procedure, som beskriver, hvordan sikkerhedshændelser og sikkerhedshændelser, der involverer personoplysninger, håndteres. Procedurerne bør omfatte både beskrivelse af, hvordan den som opdager hændelsen bør reagere, hvem der skal kontaktes, hvordan hændelsen dokumenteres og hvis hændelsen involverer personoplysninger, hvem der er ansvarlig for at dokumentere hændelsen og indberette denne til Datatilsynet. Wired Relations har lavet 10 råd til kommunikationen med de registrerede ved databrud her, hvor du også kan lytte til podcast-afsnittet om håndteringen af de registrerede ved databrud.
  • Privacy politik (intern)
    Der bør være en ”procedure”, som oplyser medarbejderne om, hvilke behandlinger organisationen foretager af deres personoplysninger.
  • Privacy notice (ekstern)
    Tilsvarende bør der være en ”procedure”, som oplyser eksterne parter – f.eks. kunder – om, hvilke behandlinger organisationen foretager af deres personoplysninger.
  • Compliance med andre regler og standarder – herunder vedligeholdelse
    Der er særlig lovgivning for behandling af personoplysninger i anden lovgivning – f.eks. TV-overvågningsloven og på sundhedsområdet. Alle regler og standarder bør samles, så organisationen sikrer sig, at der ikke er modstridende regler. Tilsvarende skal der være en vedligeholdelse af reglerne, så f.eks. ny praksis eller nye love afspejles i regelsæt og andre organisatoriske foranstaltninger. Hvis man benytter sig af privacy- og compliance-software fra Wired Relations, er dette allerede integreret i systemet (Læs hvordan Wired Relations-platformen har designet platformen efter sustainable compliance-principperne).
  • Intern awareness
    Det skal sikres, at medarbejderne er i stand til at efterleve reglerne. Derfor bør der ske en oplysnings- og uddannelsesmæssig indsats. Der skal desuden løbende køres awareness kampagner og tests med det formål at sikre, at medarbejderne fortsat er opmærksomme på de persondataretlige regler i deres praktiske udførelse af deres arbejde.


Links

Andre relevante artikler fra Wired Relations om emnet er:

Henning Mortensens artikel om sikkerhedsforanstaltninger:
https://www.karnovgroup.dk/artikler/rr-05-2018-sikkerhedsforanstaltninger

Datatilsynets vejledning om sikkerhed:
https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf

CIS20-kontroller:
https://learn.cisecurity.org/20-controls-download

ISO 27001/2:
https://webshop.ds.dk/Default.aspx?ID=120&q=iso+27001 

Flere blogs indenfor området

Se alle blogs

Reflektioner fra Privacy Space Live: Lovgivning er vigtig - andre ting betyder mere

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer