GDPR: Pak bødeangst og teknologisnak væk

2017-08-14

For at få succes med din virksomheds GDPR-arbejde skal du starte det rigtige sted. Glem bøderne, og lad være med at gå i teknologi-mode, før fundamentet er på plads. Her får du fem steps, der sikrer, at din virksomhed overholder kravene, når den nye persondataforordning træder i kraft den 25. maj 2018.

Kim Høse
Kim Høse Director IT Security, Atea

1. Tag stilling til sikkerheds- og risikobilledet

    Det værste, du kan gøre, er IKKE at tage stilling. Selv små og mellemstore virksomheder bliver ramt af ransomware, virus, fremmede på netværket, CxO-freud og DDos-angreb, der overbelaster virksomhedens website. Inden du overhovedet begynder at arbejde med persondataforordningen, skal du derfor se individuelt på dine datasystemer og sikre en helt basal it-hygiejne i din virksomhed – se mere i faktaboks.
En basal it-hygiejne består af
  • Klientbeskyttelse af pc’er og servere – antivirus i daglig tale
  • En backup-løsning, der virker, og som du tester med jævne mellemrum
  • Netværksbeskyttelse i form af en firewall, som du vedligeholder
  • Adgang til opdatering af software – alt software
  • Proces for vedligeholdelse af alle systemer – også kaldet patching

2. Definér og bestem hvad, hvor og hvem

Teknologi og teknologisk understøttelse af processer er vigtigt, men tag det rigtige afsæt. Start med at definere hvad, hvor og hvem i forhold til din virksomheds personhenførbare data:

 

Hvad skal beskyttes?

  • Kundedata og dine kunders kundedata – både tidligere, eksisterende og potentielle
  • Medarbejderdata – både tidligere, nuværende og potentielle
  • Virksomhedens viden om markedet kan også gemme personhenførbare data
  • Husk, at alt fra mailadresser til billeder er i spil

 

Hvor befinder data sig?

  • Klarlæg, hvor data burde være, og lav dernæst en rundspørge i virksomheden – det kan være en øjenåbner, da brug af skygge-it som Dropbox, Googledrev og Onedrive er udbredt i mange virksomheder
  • Bestem, hvor du på systemsiden vil have data liggende, og lav en proces for at få samlet data de steder
  • Bestem, hvordan du vil håndhæve det i din virksomhed – jf. første punkt om skygge-it

 

Hvem kan tilgå data?

  • Klarlæg, hvilke brugere der skal have adgang til hvilke systemer og med hvilket formål
  • Klarlæg, hvilke eksterne personer der skal have adgang – samarbejder din virksomhed fx med leverandører, der har adgang via systemkonti eller leverandører med direkte adgang, når der skal ydes service på systemerne?

 

Mere fra Kim Høse: Cand.hackere skal ruste os til fremtidens hackerangreb

 

3. Evaluér de eksisterende værn

Har du fulgt step 1 og 2, så har du nu fundamentet på plads for at kunne arbejde klogt hen imod at sikre, at din virksomhed overholder kravene i den nye persondataforordning. Det starter med en evaluering af din virksomheds eksisterende it-sikkerhedsløsninger:

  • Hvilke sikkerhedskontroller af komponenter og processer har din virksomhed allerede implementeret?
  • Hvorfor faldt valget på netop disse – hvilke fravalg har der været?
  • Hvilken opfølgning er der på, om de bruges?

 

4. Afdæk hullerne, og tag de nødvendige steps for at lukke dem

Måske har du nu fundet ud af, at der er krav, som de nuværende it-sikkerhedsløsninger og dokumenthåndteringsmetoder ikke kan imødekomme. Her giver det mening at se nærmere på de teknologiske muligheder, der er tilgængelige i dag, og foretage ændringer i processer og systemer, hvor det er relevant.

 

Hvis du har driftspartnere eller it-underleverandører, skal du lave en såkaldt databehandleraftale (DBA) med disse. Det er allerede i stor udstrækning et krav i forhold til persondataloven, men i persondataforordningen er kravet eksplicit og fokuseret på områder, hvor der er persondata i større mængder. Og ligger din virksomhed netop inde med større mængder data, skal du også udnævne en Data Protection Officer (DPO). En DPO har til ansvar at kunne redegøre for jeres sikkerhedsarbejde, hvis din virksomhed skulle opleve databrud eller -tab.

 

5. Arbejd dedikeret med et sikkerhedsårshjul

Hvis du ikke er vant til løbende at overvåge dine systemer med faste frekvenser, bliver dette nok en udfordring i forbindelse med den nye persondataforordning. Ikke desto mindre vil det være nødvendigt for netop at kunne bevare overblikket. Skulle din virksomhed opleve et sikkerhedsbrud, skal du kunne sikre relevant data om hændelsen og redegøre for, hvad din virksomhed har gjort for at stoppe angrebet. Alt sammen inden for 72 timer.  

 

Så planlæg overvågningen ved hjælp af et årshjul, og husk at følge op med faste frekvenser på alle niveauer. Arbejd dedikeret og omhyggeligt med årshjulet, præcis som du ville gøre, hvis det var et budget, du fulgte hen over året.

 

De tre største udfordringer i arbejdet med GDPR

Der er mange ting at få styr på inden slutningen af maj 2018. Jeg vurderer, at særligt tre områder vil være udfordrende for mange virksomheder:

  1. Det faktum, at personhenførbare data kan ligge alle steder i virksomheden
  2. Selve håndteringen af medarbejdernes brug af mere eller mindre privat-orienterende cloud-løsninger (skygge-it)
  3. Den svære og krævende disciplin at styre, hvem i og uden for virksomheden, der har adgang til hvilke data

 

Husk, at den basale it-sikkerhed skal være på plads. Se dernæst på risiko og trusler, sårbarheder og mulige konsekvenser. Teknologi og teknologisk understøttelse af processer er vigtigt, men tag det rigtige afsæt.

 

Jeg håber, at du kan bruge mine råd. Rigtig god arbejdslyst.

 

- Kim Høse, Security Director, Atea

 

Mere fra Kim Høse: Lad os gå sammen i kampen mod hackerne