Hvad er datasikkerhed og GDPR?

Hvad er datasikkerhed og GDPR?

I 2018 trådte en ny lovgivning i kraft i EU, som har ændret måden, hvorpå vi i dag tænker og håndterer persondata. Denne lovgivning kaldes GDPR, som står for General Data Protection Regulation, eller på dansk: Databeskyttelsesforordningen

GDPR er sat i verden med fokus på at beskytte den enkelte EU-borgers ret til at have kontrol over sine data og gælder primært for virksomheder, organisationer og offentlige institutioner, der behandler personoplysninger. Sagt på en anden måde er principperne bag GDPR at beskytte alle menneskers ret til privatliv – også digitalt.

To sider af samme sag

GDPR er altså en lovgivning, der specifikt regulerer behandlingen af persondata, men principperne bag GDPR hænger tæt sammen med generel datasikkerhed. Begge områder har som fælles mål at beskytte følsomme oplysninger og minimere risikoen for misbrug af dine data. Dette kræver ikke blot overholdelse af lovkrav, men også en generel tilgang til sikkerhed, der fokuserer på at beskytte data mod trusler som uautoriseret adgang, datalæk og cyberangreb. Sagt på en anden måde er GDPR og datasikkerhed altså to sider af samme sag. 

Hvad er datasikkerhed?

Når din virksomhed arbejder med personoplysninger, skal du derfor ikke kun tænke på juridisk overholdelse (som GDPR), men også på at etablere en robust datasikkerhedsstrategi. Datasikkerhed handler grundlæggende om at sikre, at data er korrekt beskyttet – uanset om der er tale om personoplysninger eller andre former for virksomhedsdata såsom økonomiske data, forretningshemmeligheder og andre kritiske informationer. 

Dette indebærer blandt andet at have klare processer for adgangskontrol, kryptering og sikker opbevaring. Det betyder også, at medarbejderne skal være opmærksomme på, hvordan de håndterer data, og hvordan de kan bidrage til at reducere risici, fx gennem awareness-træning om phishing eller cyberangreb. 

En vigtig fællesnævner mellem GDPR og generel datasikkerhed er princippet om “privacy by design og by default”. Det betyder, at beskyttelse af persondata skal indbygges i systemer og processer fra starten, og at kun nødvendige data behandles. Et eksempel på privacy by design kunne være et CRM-system, hvor adgangen til kundeoplysninger er begrænset til specifikke medarbejdere, og hvor følsomme data automatisk anonymiseres eller slettes efter en bestemt periode. Det indebærer altså, at både teknologiske løsninger og interne processer designes med datasikkerhed og privatliv i tankerne fra starten. 

Det vil altså sige, at mens GDPR fastsætter konkrete regler for behandling af personoplysninger, kræver det også, at din virksomhed iværksætter nogle generelle sikkerhedsforanstaltninger, der reducerer risikoen for databrud. Dette kan eksempelvis omfatte løbende risikovurderinger, opdatering af software og systemer samt etablering af beredskabsplaner i tilfælde af sikkerhedsbrud. Overtrædelse af GDPR kan have store konsekvenser, men et databrud kan også skade tilliden til din virksomhed – uanset om de lækkede data er omfattet af GDPR eller ej. Derfor bør en bred tilgang til datasikkerhed være en integreret del af virksomhedens strategi.

Hvordan overholder du GDPR i din organisation?

Du skal overholde GDPR, hver gang du indsamler, registrerer, videregiver eller sletter personoplysninger om f.eks. dine kunder eller ansatte. Det kan eksempelvis være, når nogen udfylder en kontaktformular med navn og e-mail på din hjemmeside, når dine medarbejderes oplysninger registreres i et HR-system til løn, eller når du opbevarer jobansøgninger i din mail-indbakke. 

Hvad er personoplysninger?
  • Almindelige personoplysninger som navn, e-mail, IP-adresse, telefonnummer og fotos anses ofte som relativt ‘harmløse’ i sig selv. Men det betyder dog ikke, at de ikke kan udnyttes ved phishing eller cyberangreb, fx ved sporing af en persons online aktivitet gennem en kombination af navn og IP-adresse. Af denne grund skal man sikre korrekt behandling af disse oplysninger, da de kan identificere personer og kræver beskyttelse i henhold til GDPR.
  •  
  • Følsomme personoplysninger er her, hvor du skal være ekstra forsigtig! Disse skal behandles med ekstra forsigtighed og omhu, da der gælder særligt strikte regler for dem, og fordi misbrug af sådanne oplysninger kan have alvorlige konsekvenser for den enkelte. De følsomme personoplysninger falder ind under følgende kategorier:
    • Helbredsoplysninger
    • Seksuel orientering
    • Race eller etnisk oprindelse
    • Politisk holdning
    • Religiøs eller filosofisk overbevisning
    • Fagforeningsmedlemskab
    • Genetiske eller biometriske data (fx fingeraftryk, ansigtsgenkendelse)

Under GDPR har man som EU-borger en række rettigheder, herunder retten til indsigt, rettelse og sletning af oplysninger. For virksomheder betyder det et øget ansvar for at sikre databeskyttelse gennem hele processen, fra indsamling til sletning. Overtrædelse af GDPR- reglerne kan resultere i store bøder fra Datatilsynet og skade virksomhedens omdømme, hvilket gør overholdelse af GDPR afgørende for at opbygge og bevare tillid hos kunder og brugere.

Læs også: Hvorfor er det vigtigt at have styr på sine ustrukturerede data?

Hvor GDPR sætter rammerne for, hvordan personoplysninger skal behandles og beskyttes, sørger datasikkerhed for, at data – uanset type – holdes sikre og utilgængelige for uvedkommende. Ved at integrere de to områder sikrer du ikke blot overholdelse af lovgivning, men også en stærkere position i en digital tidsalder, hvor data er en af de mest værdifulde ressourcer.

Er du overvældet, og ved du ikke helt hvordan du kommer i gang? Læs vores tjekliste til en overholdelse af GDPR her, og en tjekliste til hvordan du overholder informationssikkerhedsstandarden ISO 27001 her. 

Hvad er datasikkerhed og GDPR?

DISCLAIMER:

De oplysninger, vi tilbyder her, kan fungere som en nyttig guide til at forstå regler om databeskyttelse og digitalt privatliv. Vi tilbyder dog ikke nogen form for juridisk rådgivning, og vi anbefaler at du kontakter Datatilsynet, hvis du er i tvivl om dine rettigheder og pligter vedr. GDPR; https://www.datatilsynet.dk/kontakt

Læs mere

Hvad er gevinsterne ved at overholde GDPR?

Hvad er gevinsterne ved at overholde GDPR?

I snakken om GDPR er der ofte fokus på de konsekvenser, som overtrædelser af reglerne kan have for en organisation. Selvom dette naturligvis er vigtigt at have for øje, bør man ikke overse, at en stærk og konsekvent datasikkerhed også kan åbne døren for en række værdifulde gevinster for en organisation.

Læs mere »