Datatilsynet har for nylig offentliggjort et nyt katalog over sikkerhedsforanstaltninger, som virksomheder og myndigheder kan overveje i forskellige sammenhænge. Vi har implementeret de samme foranstaltninger i Privacy, så den dataansvarlige kan vælge mellem disse passende tekniske og organisatoriske foranstaltninger.
Virksomheder og myndigheder, der ønsker at sikre tilstrækkelige sikkerhedsforanstaltninger, har nu et værdifuldt supplement til deres daglige drift. Datatilsynet har for nylig offentliggjort et katalog over sikkerhedsforanstaltninger på sin hjemmeside med det formål at strømline processen med at identificere løsninger til håndtering af potentielle risici.
"Kravet i GDPR er, at dataansvarlige skal sikre passende tekniske og organisatoriske foranstaltninger – dette er meget generelt, men kataloget er et forsøg på at gøre det helt konkret og anvendeligt," siger Datatilsynet.
Vi har implementeret de samme sikkerhedsforanstaltninger i Privacy, så disse nemt kan tilføjes til dine behandlingsaktiviteter og systemer.
Følgende er angivet for hver foranstaltning:
- Hvilke risici adresseres?
- Hvilke foranstaltninger kan overvejes?
- Hvornår er foranstaltningen nødvendig?
Adgangsrettigheder efter behov
Awareness
Automatisk lukning af inaktive adgange
Backup
Centraliseret rettighedsstyring
Dataadgang efter behov
Dokumentation af autorisationer
Flerfaktorautentifikation (MFA)
Funktionsadskillelse
Håndtering af midlertidige brugerkonti
Logning af brugernes anvendelser af personoplysninger
Logning af brugeradministrators handlinger
Minimering af antal autorisationsansvarlige og brugeradministratorer
Minimering af privilegerede adgangsrettigheder
Periodisk kontrol af adgangsrettigheders aktualitet
Pseudonymisering og anonymisering
Rollebaserede adgangsrettigheder
Sammenhæng mellem brugerkompetencer, adgangsrettigheder og opgaver
Stikprøver i log over brugernes anvendelser af personoplysninger
Styring af fysiske adgange
Tilpasning af adgangsrettigheder ved ændring af ansættelsesforholdet
Undgå genanvendelse af autorisation uden aktiv stillingtagen
Undgå kopiering af adgangsrettigheder uden aktiv stillingtagen
Undgå unødvendig anvendelse af flerbrugerkonti
Ændringsstyring (Change Management)
Når du opretter en ny eller redigerer en behandlingsaktivitet, kan du tilføje sikkerhedsforanstaltninger i trin 2 "De registrerede". Du kan tilføje så mange foranstaltninger, som du ønsker, fra dropdown'en "Sikkerhedsforanstaltninger".
Hvis listen mangler nogen af dine foranstaltninger, har du også mulighed for at oprette dine egne. Datatilsynet siger, at det er vigtigt at bemærke, at kataloget ikke er udtømmende.
Sikkerhedsforanstaltninger kan også tilføjes til et system i trin 5 "Systeminformation".
Administratorer kan også tilføje globale sikkerhedsforanstaltninger, der er implementeret på tværs af organisationen. Globale foranstaltninger er aktive i alle behandlingsaktiviteter og systemer.