Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. Jeg skrev i foråret et blog-indlæg ”Hvor gemmer du de personfølsomme data?”. Dette blogindlæg er stadig relevant og med det seneste datalæk i Sønderjylland føler jeg behov for lige at skrive lidt mere om best practice og mine holdninger.

Personfølsomme oplysninger er i sagens natur fortrolige og GDPR satte i 2018 krav til håndtering af personfølsomme data. Men meget tyder på at man i 2023 sagtens kan føle at man lever op til GDPR uden reelt at beskytte disse data tilstrækkeligt.

Betroes vi personers følsomme data påtager vi os et kæmpe ansvar – vi kan simpelthen ikke være bekendt ikke at beskytte dem bedst muligt.

Men hvordan gøres det i praksis?

Personfølsomme data skal beskyttes med to-faktorlogin, adgangsrettigheder og gerne kryptering.

Dvs. at lagring af personfølsomme data i traditionelle filmapper i 2023 må siges at være alt for risikabelt.

Adgangen til personfølsomme data skal ske på en need-to-know basis. Dvs. at kun medarbejdere der reelt har behov for at anvende data skal have adgang til dem.

Som eksempel kan vi tage et team af sagsbehandlere på 5 personer. Her er det vigtigt at alle 5 ikke har adgang til alle personfølsomme data, men alene til de data som de selv skal anvende i deres sagsbehandling. Dette kræver ekstra arbejde, men det er desværre prisen for at blive betroet så følsomme data.

Dette vil normalt kræve at disse data lagres i en database og ikke i alm. filmapper.

Ofte vil virksomheder have sagsstyringssystemer der understøtter en sådan beskyttelse, men ellers må man indføre særskilte databaser til de følsomme data.

Mange vil spørge om vi ikke kan fortsætte med filmapper, hvis vi bare beskytter dem godt nok?

Jeg vil mene at det vil være meget vanskeligt, men der kan nok findes løsninger?

Men oftest vil det næste krav endegyldigt aflive denne løsning.

Datahygiejne

Datahygiejne er det krav som stilles i GDPR at vi pålægges at slette persondata når vi ikke længere har brug for dem.

Hvis filer blot er placeret i filmapper (uagtet hvor beskyttede de er), så er det næsten umuligt at overholde kravet om sletning.

Lad os antage at vores politik er at slette elevdata automatisk 2 år efter at de har forladt skolen. Dette kan næsten kun styres ved at have informationerne i en database, hvor vi kan opsætte en sletningspolitik for data. Et konkret eksempel på manglende datahygiejne ser vi ved at også data fra tidligere elever og tidligere ansatte er blevet lækket.

Indsamling af personfølsomme data

Selve indsamlingen af de personfølsomme data udgør en udfordring. Det er klart at det bedste ville være at vi får dem direkte fra den registrerede selv, gerne på en platform, hvor de logger ind med MitID.

Er det samarbejdspartnere der leverer informationerne burde et login med MitID også være den bedste model.

Men det er nok endnu ikke muligt for alle?

En del modtager nok stadig denne type informationer via e-mails, dette er helt klart ikke optimalt. Og ved meget kritiske informationer bør de ikke sendes som e-mail.

Ofte skal vi også håndtere samtykke til lagring og behandling af disse data, ligesom vi skal kunne håndtere at den registrerede altid kan tilbagetrække sit samtykke og forlange data slettet eller korrigeret – eller få oplyst hvad vi har registreret om dem.

Men så snart data er modtaget via e-mail og er oprettet i databasen skal vi sikre at e-mailen slettes permanent.

Korrekt indsamling, behandling og sletning af personfølsomme oplysninger er en ledelsesopgave og først i anden omgang en IT-opgave. Ledelsen bliver nødt til at træde i karaktér og stille krav til IT-leverandører og IT-funktionen.

Behandler du personfølsomme data og er usikker på om I beskytter disse data godt nok, så start en dialog med os.

Vi er klar med en hurtig gennemgang og vi råder over systemer der kan anvendes til at få styr på IT-sikkerheden – også de personfølsomme data.

Har du input eller kommentarer til mine anbefalinger, hører jeg gerne fra dig.

Så skete det som bare ikke måtte ske, en række skoler i Sønderjylland er blevet hacket og meget fortrolige personfølsomme oplysninger er blevet lækket.

For en skole er det worst-case scenariet der udspiller sig. Elever har ikke en chance for at vide hvilke informationer der er lækket og meget tyder på at skolerne heller ikke ved det med sikkerhed.

Løbet er kørt og end ikke betaling af løsesummen på godt 900.000 kr. vil ændre noget.

Jf. interview i Radioavisen mente skolerne at de ”havde godt styr på IT-sikkerheden” og vicedirektøren kunne oplyse at citat ”det var en afvejning af økonomien om man skulle bruge de sidste kroner på IT-sikkerheden”.

Denne case er dog ikke et spørgsmål om økonomi, men om at tage ansvaret for opsamling, behandling og ikke mindst beskyttelse af personfølsomme data alvorligt. Det er skræmmende, at vi her 5 år efter at GDPR-reglerne blev lovpligtige ser databrud af denne karakter.

Og med det trusselsniveau vi ser i disse år, er det simpelthen for farligt at lade stå til.

Det datalæk vi her har været vidne til kunne have været – om ikke undgået – så været markant minimeret med helt basale foranstaltninger.

Jeg kan kun anmode alle der har ansvaret for opsamling og behandling af sådanne personfølsomme oplysninger om at stramme op.

Dette er ikke et IT-problem. Det er ledere, mellemledere og bestyrelser der skal tage deres ansvar alvorligt.

Man kan ikke bruge økonomi som undskyldning, det kan man simpelthen ikke være bekendt overfor de registrerede personer.

Er din virksomhed eller institution allerede ISO-27001 certificeret? Eller arbejder i henimod en certificering eller ønsker blot at overholde standarden? Så er en ISMS app en rigtig god hjælp.

Med Nem ISMS får du styr på IT-sikkerheden og du kan med årshjulet sikre løbende opfølgning på de periodiske opgaver.

Det er nemt at digitalisere dit eksisterende ISMS, dels kortlægningen af informationsaktiver, holde styr på backup og antimalware. Holde overblik over relevante IT-sikkerhedsdokumenter og databehandleraftaler, lave risikoanalyser og holde styr på dine foranstaltninger - herunder naturligvis SoA dokumentet.

Men Nem ISMS tilbyder meget mere end compliance, arbejd med dine leverandører, hold styr på din godkendte software, licensaftaler og softwareversioner og meget mere.

Oktober er National cybersikkerhedsmåned og i denne måned tilbyder vi gratis undervisning, installation og hjælp til ibrugtagning når der tegnes en 36 måneders aftale på Nem ISMS.

Hermed er en i forvejen attraktiv løsning ved bestilling i oktober endnu mere attraktiv.

Nem ISMS er også forberedt til arbejdet med NIS2, så det er yderligere en fordel.

Tag fat I os for en dialog eller en demo.