Organisatoriske sikkerhedsforanstaltninger

Organisatoriske sikkerhedsforanstaltninger

På baggrund af en risikovurdering set fra de registreredes skal de dataansvarlige i henhold til persondataforordningen iværksætte passende organisatoriske sikkerhedsforanstaltninger. I denne artikel vil vi berøre, hvad passende organisatoriske sikkerhedsforanstaltninger egentlig er.

 

Baggrund

Persondataforordningen er meget sparsom med at komme med eksempler på organisatoriske foranstaltninger. Den nævner dog i artikel 24, stk. 2 at der kan fastsættes passende databeskyttelsespolitikker og i artikel 32 at der skal være en procedure for afprøvning af de tekniske og organisatoriske foranstaltninger og denne procedure må i sig selv være at betragte som en organisatorisk foranstaltning. Det er derfor i høj grad op til den registrerede at fastslå hvilke politikker og procedurer der skal iværksættes som organisatoriske foranstaltninger.

Foranstaltningen giver kun mening i det omfang, den kan afhjælpe en risiko, og derfor er fokus nedenfor ikke foranstaltningen i sig selv, men den risiko som foranstaltningen kan reducere. Det kan anbefales at læse mere om, hvordan man modellerer trusselsbilledet og laver risikovurdering i Wired Relations artikel herom. Nogle af foranstaltningerne kan afhjælpe flere trusler, men er som hovedregel kun anført ét sted. Nedenfor listes 4 forskellige trusler med tilhørende organisatoriske foranstaltninger.

Risiko 1: Manglende overblik over risici

  • Risikovurdering
    Der bør laves to risikovurderinger. Den ene er en risikovurdering set fra organisationens perspektiv: Hvad kan gå galt og hvad kan det koste os på bundlinjen. Den anden risikovurdering er den, som kræves af persondataforordningen: En vurdering af hvilke risici organisationens behandling af personoplysninger udsætter de registrerede for. Risikovurderingerne bør være starten på den røde tråd i sikkerhedsarbejdet, og det er med udgangspunkt i risikovurderingen, at man vælger hvilke konkrete foranstaltninger, der skal iværksættes.

Risiko 2: Manglende styring og helhedsbillede af sikkerhed

  • IT-sikkerhedspolitik
    Der skal skrives en overordnet IT-sikkerhedspolitik, som kan indeholde en vision, mission og værdier for organisationen. Dokumentet er helt overordnet og beskriver hvorfor sikkerhed er vigtigt for organisationen. Man kan med fordel tage udgangspunkt i ISO27001.
  • ISMS
    Der skal laves en beskrivelse af, hvordan sikkerhedsarbejdet organiseres i form af et såkaldt information security management system. Her beskrives de centrale roller og ansvarsplaceringen. Man kan med fordel tage udgangspunkt i ISO27001.
  • Fortegnelse over informationsaktiver
    Der skal være en oversigt over hvilke informationsaktiver virksomheden er i besiddelse af. Informationsaktiver er fysisk udstyr i form af terminaler, mobilt udstyr, servere, netværkskomponenter, printere, ubs m.v. Hertil kommer logisk udstyr i form af virtuelle servere, virtuelle net, tjenester på nettet osv. Hvert informationsaktiv bør have en ejer, som er ansvarlig for aktivet f.eks. mht. funktionalitet, opdatering og brugeradgang.
  • Regelsæt baseret på standarder
    Der skal udformes et sæt regler for virksomhedens anvendelse af it. Reglerne skal adressere alle relevante parter – f.eks., der er en ansvarlig for informationsaktiverne, driften og brugerne. Regelsættet kan med fordel baseres på en standard som f.eks. ISO27002, således at det sikres, at man kommer hele vejen rundt om sikkerheden. Regelsættet er det vigtigste supplement til tekniske foranstaltninger. Kan man ikke imødegå en risiko teknologisk, må man imødegå den med en organisatorisk foranstaltning i form af en regel for adfærd.
  • Beredskabsplan
    Der skal være en beredskabsprocedure, som beskriver, hvornår et beredskab skal træde i kraft, hvem som er omfattet af beredskabet, hvilke rolle hver enkelt har, hvordan beredskabet ledes, hvem der kommunikerer og hvilke informationsaktiver, der har hvilken prioritet. Beredskabet bør testes årligt.
  • Håndtering af brugere – før, under og efter ansættelsen
    Der skal være en procedure for håndtering af brugerne og deres roller og rettigheder tillige med ansvaret for fordeling af disse – herunder under ansættelsen og efter ansættelsens ophør.

Risiko 3: Manglende dokumentation og kontrol

  • Dokumentation
    Der skal ske en opsamling af dokumentationen af alle sikkerheds- og compliancetiltag. De organisatoriske foranstaltninger, GDPR-dokumentationen (f.eks. i Wired Relations), dokumentation af efterlevelse af regler og kontroller (f.eks. i form af logs) m.v. indgår alt sammen i denne dokumentation. Er det ikke dokumenteret, er det ikke gjort.
  • Kontroller til regelsæt
    Der bør udarbejdes en række konkrete kontroller til reglerne, som sikrer, at det kan dokumenteres, at de efterleves i praksis. Kontrollerne bør være konkrete og gå i dybden, således at kontrollerne giver et præcist og retvisende billede. F.eks. har alle terminaler alle de seneste opdateringer til alle programmer og kontrolleres det, at disse opdateres løbende. Regelsættet efter ISO27002 kan udgøres grundlaget for kontroller. Hvis man er ude efter noget lidt mere overordnet kan CIS20 anvendes.
  • Leverandørstyring
    Leverandører bør styres grundigt – særligt i det omfang, hvor de har adgang til forretningskritiske data eller personoplysninger. Det skal f.eks. besluttes, hvem i organisationen der må indgå aftaler med leverandører. I det omfang leverandøren har status af at være databehandler, skal det sikres, at der er indgået en databehandleraftale, og efterlevelsen af denne skal kontrolleres. Der kan alternativt være behov for fortrolighedserklæringer eller aftaler om fælles dataansvar. Endelig kan man også vælge løbende at kontrollere de større leverandørers revisionserklæringer og/eller se hvilke certificeringer de har – f.eks. ISO27001/2, ISO27018, NIST800-53rv eller ISF.

Risiko 4: Ulovlig behandling af personoplysninger

  • Fortegnelse over behandlingsaktiviteter
    Der skal foreligge en fortegnelse over behandlingsaktiviteter, der bl.a. redegør for kategorier af registrerede, kategorier af personoplysninger, formål med behandlingen, kategorier af modtagere, overførsel til tredje lande, tidsfrister for sletning og beskrivelse af foranstaltninger. Foruden fortegnelsen omtalt i artikel 30, skal man også kunne dokumentere efterlevelse af principperne i artikel 5. Man skal ligeledes sikre at de registrerede er oplyst om behandlingen. Det er således ganske betydelige dele af hele forordningen, som man skal kunne dokumentere, og derfor skal ikke stirre sig blind alene på artikel 30.
  • Procedurer for behandling af personoplysninger
    I en række konkrete sammenhænge i organisationen kan der være behov for at dokumentere efterlevelse af konkrete procedurer. Det kan f.eks. være håndtering af ansættelse af nyt personale eller arbejdsskadesager. Der bør foreligge procedurebeskrivelser for håndtering af personoplysninger for sådanne gentagne arbejdsgange.
  • Hændelseshåndtering / Databrud
    Der bør være en procedure, som beskriver, hvordan sikkerhedshændelser og sikkerhedshændelser, der involverer personoplysninger, håndteres. Procedurerne bør omfatte både beskrivelse af hvordan den som opdager hændelsen bør ragere, hvem der skal kontaktes, hvordan hændelsen dokumenteres og hvis hændelsen involverer personoplysninger, hvem der er ansvarlig for at dokumentere hændelsen og indberette denne til Datatilsynet.
  • Privacy politik (intern)
    Der bør være en ”procedure”, som oplyser medarbejderne om, hvilke behandlinger organisationen foretager af deres personoplysninger.
  • Privacy notice (ekstern)
    Tilsvarende bør der være en ”procedure”, som oplyser eksterne parter – f.eks. kunder – om hvilke behandlinger organisationen foretager af deres personoplysninger.
  • Compliance med andre regler og standarder – herunder vedligehold
    Der er særlig lovgivning for behandling af personoplysninger i anden lovgivning – f.eks. TV-overvågningsloven og på sundhedsområdet. Alle regler og standarder bør samles, så organisationen sikrer sig at der ikke er modstridende regler. Tilsvarende skal der være en vedligeholdelse af reglerne, så f.eks. ny praksis eller nye love afspejles i regelsæt og andre organisatoriske foranstaltninger.
  • Awareness
    Det skal sikres, at medarbejderne er i stand til at efterleve reglerne. Derfor bør der ske en oplysnings og uddannelsesmæssig indsats. Der skal desuden løbende køres awareness kampagner og tests med det formål at sikre, at medarbejderne fortsat er opmærksomme på de persondataretlige regler i deres praktiske udførelse af deres arbejde.

Links

Andre relevante artikler fra Wired Relations om emnet er:

Henning Mortensens artikel om sikkerhedsforanstaltninger:
https://www.karnovgroup.dk/artikler/rr-05-2018-sikkerhedsforanstaltninger

Datatilsynets vejledning om sikkerhed:
https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf

CIS20-kontroller:
https://learn.cisecurity.org/20-controls-download

ISO 27001/2:
https://webshop.ds.dk/Default.aspx?ID=120&q=iso+27001 

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin