Tekniske og organisatoriske foranstaltninger (TOM)

Tekniske og organisatoriske foranstaltninger (TOM) er de samlede sikkerhedstiltag, en organisation implementerer for at beskytte personoplysninger og informationsaktiver. GDPR artikel 32 kræver, at foranstaltningerne er 'passende' i forhold til risikoen – og at du kan dokumentere dem.

Tilbage til ordbog

Hvad er TOM?

TOM er en forkortelse for tekniske og organisatoriske foranstaltninger (på engelsk: Technical and Organisational Measures). Begrebet stammer fra GDPR artikel 32, der kræver, at den dataansvarlige og databehandleren implementerer passende foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen ved databehandlingen.

TOM er ikke et særskilt dokumentformat, men en samlet betegnelse for hele porteføljen af sikkerhedstiltag, der tilsammen beskytter data mod brud og misbrug. Det er disse foranstaltninger, du typisk beskriver i en databehandleraftale eller i et svar på en kundes sikkerhedsspørgeskema.

Tekniske foranstaltninger

Tekniske foranstaltninger er teknologibaserede sikkerhedstiltag:

Kryptering: Beskyttelse af data i hvile og under transport med moderne krypteringsstandarder.
Pseudonymisering: Reduktion af risikoen ved databrud ved at erstatte identificerende oplysninger med kunstige identifikatorer.
Adgangskontrol: Implementering af rollebaseret adgangsstyring og princippet om mindste privilegium.
Multifaktorautentificering (MFA): Krav om mere end én form for verifikation for at tilgå systemer og data.
Logning og overvågning: Registrering og overvågning af adgang til systemer for at opdage anomalier og uautoriseret aktivitet.
Backup og gendannelse: Vedligeholdelse af testede backup- og gendannelsesprocedurer for at sikre datatilgængelighed.

Organisatoriske foranstaltninger

Organisatoriske foranstaltninger er procesmæssige og ledelsesmæssige tiltag:

Informationssikkerhedspolitikker og -procedurer
Sikkerhedsbevidsthed og træning for medarbejdere
Adgangsstyringsprocedurer og onboarding/offboarding-processer
Leverandørstyring og vurdering af databehandlere
Procedurer for hændelsesrespons og håndtering af databrud
Klassificeringspolitikker for information

Hvad er 'passende' foranstaltninger?

GDPR kræver foranstaltninger, der er 'passende' i forhold til risikoen. Hvad der er passende, afhænger af:

State of the art: Hvilken teknologi der er tilgængelig og praktisk anvendelig.
Implementeringsomkostninger: Omkostningerne skal stå i rimeligt forhold til risikoen.
Behandlingens karakter, omfang og formål: Karakteristikkerne ved den pågældende databehandling.
Sandsynlighed og alvorlighed: Sandsynligheden for og den potentielle indvirkning af risici for de registrerede.

Der er ingen universalliste over, hvad der er 'passende' – det kræver en risikobaseret vurdering i den konkrete kontekst.

Dokumentation

Accountability-princippet i GDPR kræver, at du kan dokumentere dine TOM'er. Det gøres typisk via din ISMS-dokumentation, databehandleraftaler der specificerer hvilke foranstaltninger databehandleren har implementeret, og svar på kunders sikkerhedsspørgeskemaer (vendor assessments).

Dokumentationspligt: Det er ikke tilstrækkeligt at have foranstaltninger på plads – du skal kunne påvise, at de eksisterer og er effektive. Tilsynsmyndigheder forventer dokumenteret evidens for dine TOM'er under revisioner og undersøgelser.

Ofte stillede spørgsmål om tekniske og organisatoriske foranstaltninger (tom)

Hvad er tekniske og organisatoriske foranstaltninger?

Tekniske og organisatoriske foranstaltninger (TOM) er de sikkerhedstiltag, en organisation implementerer for at beskytte personoplysninger og informationer. GDPR artikel 32 kræver, at den dataansvarlige og databehandleren implementerer passende tekniske og organisatoriske foranstaltninger.

Hvad er eksempler på tekniske foranstaltninger?

Tekniske foranstaltninger inkluderer kryptering, pseudonymisering, adgangskontrol, firewall, MFA, backup, sårbarhedsscanning og logning. Det er teknologibaserede sikkerhedstiltag.

Hvad er eksempler på organisatoriske foranstaltninger?

Organisatoriske foranstaltninger inkluderer politikker og procedurer, sikkerhedstræning for medarbejdere, adgangsstyringsprocedurer, beredskabsplaner og leverandørstyring. Det er procesmæssige og ledelsesmæssige tiltag.

Hvordan afgør man hvad der er 'passende' foranstaltninger?

GDPR kræver en risikobaseret vurdering, der tager højde for state of the art, implementeringsomkostninger, behandlingens karakter, omfang og formål samt sandsynlighed og alvorlighed af risici for de registrerede. Der er ingen universalliste.

Hvor skal TOM'er dokumenteres?

TOM'er dokumenteres typisk i ISMS-dokumentation, databehandleraftaler, svar på sikkerhedsspørgeskemaer fra leverandører og fortegnelser over behandlingsaktiviteter. Accountability-princippet kræver påviselig dokumentation.