GDPR - Analyse og tiltag

Overblik Trusselbillede Frasortér Planlæg samtykke fra kunder Sikre pc'er og kundedata

Indledende bemærkninger

Betegnelsen "kunde" benyttes også, såfremt der er tale om et foreningsmedlem etc. I GDPR-forstand burde betegnelsen være "fysisk person", men det lyder lidt tungt.

Når der ofte tales om "mine data" er det også en forenkling. I følge GDPR er det reelt ikke mine data, men den registreredes. Jeg låner dem bare.

I Jeg skaber overblik over mine kundedata

Ved at stille spørgsmål som:

... kan jeg skabe forudsætning for at lave en risikoanalyse.

Husk, at persondata ikke bare er kundelister med kolonner og rækker. Også mails, tilbud, rapporter etc. rummer ofte persondata og er derfor fuldt omfattet af kravene i GDPR.

Tilbage til oversigtstegning

II Jeg tegner et trusselbillede

Der er tre hovedkategorier af trusler:

  1. Tab af pålidelighed, også kaldet integritet: At mine data er troværdige, korrekte og at behandlingen af dem sker korrekt. Pålidelighed kan påvirkes af forhold som: Opbevares data i en Wordfil (meget stor risko for pålidelighedstab) eller i et specialudviklet kundemodul. Hvor mange, der har adgang til at (op)rette data, har også betydning (mange kokke ...)
  2. Tab af tilgængelighed: Hvis mine data ikke kan tilgås, når der er behov for dem. Hvor godt der sikkerhedskopieres har betydning hér. Stabilitet af udstyr og programmer spiller også ind.
  3. Tab af fortrolighed, altså hvis mine data - altså præcis de data, der er min varetægt - bliver kendt af andre, som ikke har lovlig adkomst til dem. Bruger jeg et ustruktureret system, atter fx en Wordfil eller Excel-ark eller opholder data sig i en beskyttet database. Sidder password på opslagstavlen eller er det kendt af alle og enhver i virksomheden.

På baggrund af de optegnelser, som er foretaget i trin I vurderes i hvilket omfang såvel udefra kommende - fx hackerangreb - som indefra kommende forhold som fx almindeligt sløseri, kan kompromittere mine data i henseende til de tre trusler.

Det anbefales at indsætte truslerne i et diagram:

Trussel / konsekvens diagram

Til hjælp for arbejdet kan dette ark benyttes: Tab og konsekvenser fordelt på datatyper.

Indsatsen tjener ikke kun til at opfylde krav i GDPR, men kan også være meget nyttigt i forhold til fx at revurdere firmaets praksis med hensyn til sikkerhedskopiering og adgangskontrol til pc'er og andre ressourcer.

Fjender, nej dem har jeg ingen af. Eller?

Det kan virke ubehageligt, men stil alligevel dette spørgsmål: "Har mit firma, min organisation etc. nogle fjender?"

Nogle eksempler:

Konsekvensen af en handling fra en af disse parter er helt uforudsigelig. Og derfor også potentielt ødelæggende. Enhver af dem vil med få greb kunne bringe en uforberedt virksomhed i knibe: Eleven kan bede om indsigt i egne data fra sin til på Friskolen. Kunden kan lave en "socal media" gruppe, der udfritter omkring persondatasikkerheden. Den tidligere medarbejder kan - med sin store indsigt i firmaets svagheder, henlede mediernes interesse omkring dette forhold. Og fjender af minkavlere kan måske finde en ny angrebsvinkel.

Tilbage til oversigtstegning

III Frasortér alle overflødige data

Alle data om kunder, der ikke længere er "aktive", kan man frasortere. Det er ikke nødvendigvis nogen lille opgave, da data om "Jens Jensen" kan forekomme mange steder: I mails, fakturaer, notater, regneark, rapporter etc. Har man gjort arbejdet under pkt. I grundigt, bør det imidlertid ikke være meget besværligt.

Husk, at når man "sletter" fx en Word fil, sker der ikke andet, end at den markeres som slettet. Data eksisterer fortsat på ens lagermedie, typisk disken. Også når man har "tømt papirkurven" vil det være muligt at gendanne - i hvert fald dele af - den pågældende Word fil.

Husk, at andre love, der "står over" GDPR, fx Bogføringsloven, kan stille krav om, at data bevares, også selv om kundeforholdet er ophørt.

Ønsker man at bevare kundedata længere, end det oprindelige - af kunden kendte - formål tilsiger, må man anmode om fornyet samtykke, hvori beskrives, hvilket formål, man nu ønsker opfyldt, ved at opbevare kundens data.

 

Tilbage til oversigtstegning

IV Planlæg samtykke fra kunder

Uanset, at man måske har haft et langvarigt kundeforhold, kan det kun tilrådes, at man indhenter et nyt samtykke. Typisk har man nemlig aldrig nogen sinde indhentet et samtykke, da det ikke var et eksplicit krav før GDPR.

Det er i hvert fald kun gennem et fornyet samtykke, at man kan være sikker på, at kunden ved, hvilke data man opbevarer og til hvilke formål.

Læg mærke til, hvor mange firmaer m.v., der her i april/maj måned 2018 henvender sig med oplysning om "nye retningslinjer for behandling af dine data".

Det vil typisk tage et godt stykke tid, før samtykke er indhentet fra alle dine kontakter. Når dette skrives, er 25. maj 2018 lige om hjørnet, og det er urealistisk at forestille sig, at alle firmaer har indhentet samtykke fra alle kunder på dette tidspunkt.

Datatilsynet har udtalt til medierne, at de ikke "vil komme efter" de virksomheder, der har planlagt og er i gang med at gennemføre denne proces. Men de vil hæfte sig ved, om det kan vises, at man er i gang, og om der er fornuftige deadlines. En fornuftig deadline kunne være "ultimo august 2018". En ikke-acceptabel deadline må formodes at være "inden udgangen af 2018".

Tilbage til oversigtstegning

V Sikre pc'er og kundedata

Alle de ovennævnte aktiviteter er i kategorien dokumentation. Det er nødvendigt og vigtigt.

Men det hjælper ikke med dokumentation alene. Hvis en medarbejders bærbare pc med kundeoversigten bliver stjålet, vil der være sket et "databrud", og konsekvenserne heraf er mange og alvorlige. I henseende til GDPR skal såvel Datatilsynet som alle berørte kunder orienteres. Og tidsfristerne er korte. Hvis det var firmaets eneste pc, og der ikke findes en backup, er konsekvenserne helt uoverskuelige: Det vil ikke være muligt at kontakte kunderne, for data er borte, og det er en dybt alvorlig forseelse mod ånd og bogstav i GDPR.

Dette scenario er forhåbentlig helt usandsynligt, men den stjålne pc med kundedata udgør alligevel en alvorlig trussel mod virksomhedens anseelse, økonomi og - i værste fald - overlevelse. Også selv om man har flere pc'er med kundedata og/eller backup.

Det helt overvældende antal pc'er til administrativ brug i Danmark er baseret på en eller anden udgave af Microsoft Windows. Mange tror, at hvis man beskytter adgangen med et (godt) password, så vil der ikke kunne ske noget i tilfælde af et tyveri. Det er simpelthen forkert. Enhver skolelev kan hente et - fuldt legalt og meget anerkendt - program (styresystem) på "nettet", nemlig Linux.

Hvis man i stedet for Windows starter den samme pc med styresystemet Linux, er alle data på den pågældende disk helt ubeskyttede. Og Linux kan sagtens læse filer af alle de gængse formater for tekstbehandling, regneark etc.

Derfor er det helt nødvendigt at sikre sine pc'er fysisk!

Tilbage til oversigtstegning

Mod datatyveri - vha. kryptering

Den eneste måde at tilvejebringe et højt sikkerhedsniveau på en pc er gennem kryptering af data på disken. Dette kunne lede én til at tro, at man blot kan kryptere de områder, hvor data gemmes. Fx i mappen "Users\brugernavn". For det første er dette lidt lettere sagt end gjort. For det andet gemmer Windows – delvis af fornuftige grunde – en masse kopier forskellige stedet på disken. Reelt har man ikke kontrol over, om disse filer bliver slettet nogen sinde. Endvidere har Windows jo en "papirkurv", hvor i "slettede" filer kan opholde sig. Og selv om man fjerner indholdet i "papirkurv", er det ikke den store kunst at genskabe indholdet!

Altså: Der er kun én vej: At kryptere hele disken!

Windows har denne mulighed, i hvert fald i de såkaldte PRO versioner. Og det fungerer upåklageligt. Når det én gang er iværksat, opdager man ikke, at noget er forandret. Pc'en er ej heller mærkbart langsommere. Men en eventuel datatyv har umådelig små chancer for at liste noget ud af den således beskyttede pc. Man kan derfor med god samvittighed lade sin pc stå på kontoret ved fyraften eller få sin bærbare stjålet. Det vil ikke føre til noget databrud.

En kryptering vil deriomod ikke sikre mod datatyveri, mens man arbejder på pc'en eller man blot er logget ind. Her skal andre midler til, men det er jo de samme, som man anvender som beskyttelse mod virusangreb etc.

At kryptere hele sin disk er i og for sig ikke den store udfordring. Man skal blot huske at man kan miste alt, hvis man gør noget forkert i processen! Derfor er forudgående sikkerhedskopiering, samt nøje overholdelse af alle trin i processen et krav. Forsøg ikke på det, hvis man ikke har gjort det før. Her er det en god idé at få professionel hjælp.

Men krypterer man sine pc'er, så er en meget stor del af GDPR kravene til datasikkerhed opfyldt.

Man kan læse mere om kryptering i Kapitel 8 Kryptering.

Tilbage til oversigtstegning

Mod datatab - vha. backup

Det er ikke særlig relevant at tage backup, hvis man ikke kan få læst sine data tilbage. Mange har troet, at alt var vel, "for jeg sikkerhedskopiere jo hver dag". Men hvis man ikke jævnlig kontrollerer, at man nemt kan hente data tilbage, har man falsk sikkerhed.

I forhold til GDPR kommer det særlige forhold ind, at man enten:

I modsat fald vil der ske databrud, såfremt nogen stjæler det medie (typisk en USB-disk), der rummer sikkerhedskopien.

Tilbage til oversigtstegning

Orientering ved databrud

Hvis man tror eller ved, at uvedkommende har skaffet sig adgang til persondata, man behandler, er man forpligtet til uden ophold at orientere de personer, hvis data kan være kompromtteret. Og inden 72 timer skal man have orienteret Datatilsynet om hændelsen

Tilbage til oversigtstegning

Løbende vedligeholdelse og oprydning

Risikoen for at miste eller få kompromitteret data er ligefrem proportional med den grad af rod, man tillader i sin databehandling. Tusinder af mails i indbakker, forældede korrespondancer etc. kan give anledning til uoprettelig skade, hvis det kommer for en dag, at man behandler personoplysninger lemfældigt.

Tilbage til oversigtstegning