GDPR anger att personuppgiftsansvariga och personuppgiftsbiträden måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå för personuppgifter som är lämplig i relation till risken.
Följande information anger de grundläggande säkerhetsåtgärder som bör beaktas av organisationer som behandlar personuppgifter (dvs. personuppgiftsansvariga och personuppgiftsbiträden). Syftet är inte att tillhandahålla en fullständig förteckning över åtgärder som kan vidtas för att skydda personuppgifter i alla sammanhang. Personuppgiftsansvariga och personuppgiftsbiträden måste anpassa dessa åtgärder till sammanhanget (med beaktande av den senaste tekniken, behandlingens art och risken för enskilda personer).
Säkerhet: vad står på spel?
Konsekvenserna av bristande säkerhet kan vara allvarliga: företag kan få sin image försämrad, förlora förtroendet hos sina kunder, behöva betala stora summor pengar för att återställa verksamheten efter en säkerhetsincident (till exempel efter en personuppgiftsincident) eller få sin verksamhet stoppad. Säkra personuppgifter ligger i både individers och de organisationers intresse som behandlar uppgifterna.
För att bedöma riskerna med varje behandling bör man först identifiera dess potentiella inverkan på de berörda personernas rättigheter och friheter. Medan organisationer måste skydda sina uppgifter (både personuppgifter och andra uppgifter) i eget intresse, fokuserar följande information på skyddet av enskildas personuppgifter.
Datasäkerhet har tre huvudkomponenter: att skydda uppgifternas integritet, tillgänglighet och konfidentialitet. Därför bör verksamheter bedöma riskerna för följande:
- obehörig eller oavsiktlig åtkomst till personuppgifter – brott mot sekretessen (t.ex. identitetsstöld till följd av ett utlämnande av lönebeskeden för alla anställda i ett företag).
- otillåten eller oavsiktlig ändring av uppgifter – brott mot integriteten (t.ex. felaktigt anklaga en person för en förseelse eller ett brott till följd av ändring av åtkomstloggar).
- förlust av data eller förlust av tillgång till uppgifter – bristande tillgänglighet (t.ex. underlåtenhet att upptäcka läkemedelsinteraktion på grund av att det inte går att få tillgång till patientens elektroniska journal).
Det är också lämpligt att identifiera riskkällorna (dvs. vem eller vad som skulle kunna vara orsaken till varje säkerhetsincident), med beaktande av interna och externa mänskliga källor (t.ex. IT-administratör, användare, extern angripare, konkurrent) och interna eller externa icke-mänskliga källor (t.ex. vattenskador, farliga material, datorvirus).
Denna identifiering av riskkällorna gör det möjligt för er att identifiera potentiella hot (dvs. vilka omständigheter skulle kunna ge upphov till en säkerhetsincident?) rörande era tillgångar (t.ex. hårdvara, programvara, kommunikationskanaler, papper osv.). Sådana hot kan vara
- användning på ett olämpligt sätt (t.ex. missbruk av rättigheter, felaktig hantering ),
- modifiering (t.ex. programvara– keylogger, installation av skadlig kod).
- förlust (t.ex. stöld av en bärbar dator, förlust av ett USB-minne).
- observation (t.ex. observation av en skärm i ett tåg, geolokalisering av enheter).
- försämring (t.ex. vandalism, naturlig försämring).
- överbelastning (t.ex. full lagringsenhet, överbelastningsattack).
- otillgänglighet (t.ex. vid ransomware).
Det är också lämpligt att:
- fastställa befintliga eller planerade åtgärder för att hantera varje risk (t.ex. åtkomstkontroll, säkerhetskopior, spårbarhet, lokalsäkerhet, kryptering),
- bedöma riskernas allvar och sannolikhet på grundval av ovanstående faktorer (exempel på en skala som kan användas för uppskattningen: försumbar, måttlig, signifikant, maximal).
- implementera och kontrollera planerade åtgärder om befintliga och planerade åtgärder anses lämpliga, se till att de genomförs och övervakas.
- genomföra regelbundna säkerhetsrevisioner: varje revision bör resultera i en handlingsplan vars genomförande bör övervakas på högsta nivå inom organisationen.
I den allmänna dataskyddsförordningen införs begreppet konsekvensbedömning, som är obligatorisk för all behandling av personuppgifter som sannolikt kommer att leda till hög risk för enskilda personer. En konsekvensbedömning avseende dataskydd måste innehålla de åtgärder som planeras för att hantera de identifierade riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och mekanismer för att säkerställa skyddet av personuppgifter.
I praktiken
- För att få en tydligare bild av säkerhetsriskerna kan ni till exempel skapa ett kalkylblad för riskhantering och hålla det regelbundet uppdaterat. Detta kalkylblad kan innehålla uppgifter om materiella och mänskliga risker relaterade till servrar, datorer eller lokaler. Tillräckligt förväntade risker kan bidra till att mildra konsekvenserna i händelse av en incident.
Organisatoriska åtgärder
Öka användarnas medvetenhet
Det är viktigt att göra anställda eller användare som hanterar personuppgifter medvetna om riskerna som rör dataskydd, informera dem om de åtgärder som vidtagits för att hantera riskerna och de potentiella konsekvenserna i händelse av fel.
I praktiken
Att öka användarnas medvetenhet kan ske i form av följande:
- informationsmöten.
- regelbundna uppdateringar av förfaranden som är relevanta för anställdas och användares arbetsuppgifter.
- intern kommunikation, via e-postpåminnelser etc.
En annan försiktighetsåtgärd är att dokumentera hanteringsprocesserna, hålla dem uppdaterade och göra dem lättillgängliga för alla berörda användare. Rent konkret bör all behandling av personuppgifter, oavsett om det rör sig om administrativa åtgärder eller enkel användning av en ansökan, förklaras på ett tydligt språk och anpassas till varje kategori av användare, i dokument som de kan hänvisa till.
Upprätta en intern policy
De egna användarna kan informeras genom ett dokument som bör vara bindande och integrerat i interna regler. Den interna policyn bör särskilt innehålla en beskrivning av dataskydds- och säkerhetsreglerna.
Andra organisatoriska åtgärder
- Implementera en policy för informationsklassificering som definierar flera nivåer och kräver märkning av dokument och e-postmeddelanden som innehåller konfidentiella uppgifter.
- Gör en synlig och uttrycklig markering på varje sida av papper eller elektroniska dokument som innehåller känsliga uppgifter.
- Genomför informationssäkerhetsutbildningar och informationsmöten. Regelbundna påminnelser kan tillhandahållas via e-post eller andra interna kommunikationsverktyg.
- Tillhandahåll ett sekretessavtal eller inkludera en särskild sekretessklausul om personuppgifter i avtal med anställda och användare.
Tekniska åtgärder
Säker utrustning
Förtroendet för tillförlitligheten i era informationssystem är en viktig fråga, och genomförandet av lämpliga säkerhetsåtgärder, som GDPR har gjort obligatorisk, är ett av sätten att skapa detta.
Det är särskilt lämpligt att säkra upp:
- hårdvara (t.ex. servrar, arbetsstationer, bärbara datorer, hårddiskar).
- programvara (t.ex. operativsystem, affärsprogramvara).
- kommunikationskanaler (t.ex. fiberoptik, Wi-Fi, Internet).
- pappersdokument (t.ex. tryckta dokument, kopior).
- lokaler.
Säkra arbetsstationer
Följande åtgärder kan övervägas vid säkring av arbetsstationer:
- tillhandahålla en automatisk låsmekanism för sessionen när arbetsstationen inte används under en viss tidsperiod,
- installera brandväggsprogramvara och begränsa öppnandet av kommunikationsportar till sådana som är absolut nödvändiga för att de program som installeras på arbetsstationen ska fungera korrekt.
- använda regelbundet uppdaterade antivirusprogram och ha en policy för regelbunden uppdatering av programvara.
- konfigurera programvara för att automatiskt uppdatera säkerheten när det är möjligt.
- uppmuntra lagring av användardata på ett regelbundet säkerhetskopierat lagringsutrymme som är tillgängligt via organisationens nätverk snarare än på arbetsstationer. Om data lagras lokalt, förse användarna med synkroniserings- eller säkerhetskopieringsmöjligheter och utbilda dem i deras användning.
- begränsa anslutningen av mobila medier (USB-minnen, externa hårddiskar etc.);
- inaktivera autorun på flyttbara medier.
Vad man inte ska göra
- använda föråldrade operativsystem,
- ge administratörsrättigheter till användare som inte har it-säkerhetskunskaper.
Att gå längre
- förbjud användning av nedladdade program som inte kommer från säkra källor,
- begränsa användningen av program som kräver administratörsrättigheter för att köras,
- radera uppgifterna på en arbetsstation på ett säkert sätt innan datorn ges till en annan person,
- i händelse av att en dator utsätts för intrång, sök efter källan och eventuella spår av intrång i organisationens informationssystem, för att upptäcka om andra enheter har utsatts,
- utför säkerhetsövervakning av programvara och hårdvara som används i verksamhetens informationssystem.
- uppdatera program när kritiska sårbarheter har identifierats och åtgärdats,
- installera kritiska uppdateringar av operativsystem utan dröjsmål genom att schemalägga en veckovis automatisk kontroll.
- Se till att alla användare vet hur de ska agera vid en it-incident och ha en förteckning över personer att kontakta i händelse av en säkerhetsincident eller någon annan oväntad händelse som påverkar organisationens informations- och kommunikationssystem.
I praktiken
- Ert kontor har en öppen planlösning och ni har många anställda, men också många besökare. Tack vare ett automatiskt sessionslås kan ingen utanför företaget komma åt en anställds dator under dennes rast eller annars se vad de arbetar med. Dessutom skyddar en brandvägg och ett uppdaterat antivirusprogram era anställdas internetsurfning och begränsar riskerna för intrång i era servrar. Ju fler åtgärder som vidtas, desto svårare blir det för personer med ont uppsåt eller en vårdslös anställd att orsaka skada.
Skydda företagets lokaler
Tillträdet till lokalerna måste kontrolleras för att förhindra eller försvåra obehörig åtkomst till pappersdokument eller till datorutrustning och då särskilt servrar.
Vad ska man göra
- installera intrångslarm och kontrollera dem regelbundet;
- installera rökdetektorer och brandbekämpningsutrustning och inspektera dem årligen,
- skydda nycklar som används för att komma åt lokalerna och larmkoder.
- särskilj områden i lokalerna efter risk (t.ex. tillhandahåll särskild åtkomstkontroll för serverrummet).
- för en förteckning över vilka personer, eller kategorier av personer, som har tillstånd att vistas i de olika områdena i lokalerna,
- fastställ regler och metoder för att kontrollera besökares tillträde, åtminstone genom att se till att en person från den egna organisationen följer med besökare utanför allmänna utrymmen,
- fysiskt skydda datorutrustningen med särskilda medel (ett särskilt brandbekämpningssystem, upphöjning för att motverka eventuell översvämning, redundant strömförsörjning och/eller luftkonditionering osv.).
Vad man inte ska göra
Underdimensionera serverrummet eller försumma underhållet av rummet (luftkonditionering, UPS, etc.). Ett haveri i dessa anläggningar leder ofta till att servrarna stängs av eller att tillträdet till rummet öppnas (luftcirkulation), vilket i praktiken motverkar säkerhetsåtgärderna.
Att gå längre
Det kan vara lämpligt att föra register över tillträde till lokaler eller kontor där det finns material som innehåller personuppgifter som kan ha en allvarlig negativ inverkan på de berörda personerna. Informera användarna om införandet av ett sådant system, efter att ha informerat och samrått med företrädare för personalen.
Se också till att endast vederbörligen bemyndigad personal är tillåten i begränsade områden. Till exempel:
- inom begränsade områden, kräv att alla individer bär synliga identifieringsmärken (namnskylt, inpasseringskort),
- besökare (teknisk supportpersonal osv.) bör ha begränsad tillgång. Datum och klockslag för när de kom och gick ska registreras.
- regelbundet granska och uppdatera åtkomstbehörigheter för att säkra områden och ta bort behörigheterna vid behov.
I praktiken
- Ert företag är specialiserat på e-handel. Ni lagrar personuppgifter om kunder som finns på servrar i separata lokaler. För att säkra åtkomsten till dessa uppgifter skyddas ingången till dessa lokaler av en kortläsare. En brand bryter dock ut på grund av en kortslutning. Tack vare en rökdetektor larmades brandkåren snabbt och kunde begränsa dataförlusten.
Autentisera användare
För att säkerställa att användarna endast får tillgång till de uppgifter de behöver bör de få en unik identifierare och autentisera sig innan de använder datorutrustningen.
Mekanismer för autentisering av användare kategoriseras beroende på om de omfattar:
- vad vi vet, t.ex. ett lösenord;
- vad vi har, t.ex. ett smartkort;
- en egenskap som är specifik för personen, till exempel hur en handskriven signatur ser ut.
Valet av mekanism beror på sammanhanget och olika faktorer. En användares autentisering anses stark när den använder en kombination av minst två av ovan nämnda kategorier.
I praktiken
- För att få tillgång till ett säkert rum som innehåller konfidentiell information kan ni installera en kortläsare (”vad vi har”) tillsammans med en åtkomstkod (”vad vi vet”).
Hantera behörigheter
Olika nivåer av behörighet bör genomföras utifrån behov. Användarna bör endast ha tillgång till uppgifter på grundval av behovet av att känna till uppgifterna.
God praxis för autentisering och hantering av behörigheter:
- definiera ett unikt id för varje användare och förbjud konton som delas av flera användare. Om användningen av generiska eller delade användar-id:n är oundviklig, kräv intern validering och inför metoder för att spåra dem (loggar).
- inför tillräckligt stränga regler för lösenordskomplexitet (t.ex. minst 8 tecken, versaler och specialtecken),
- lagra lösenord på ett säkert sätt;
- ta bort föråldrade åtkomstbehörigheter;
- genomför regelbundet en översyn av behörigheterna (t.ex. var sjätte månad).
Vad man inte ska göra
- skapa eller använda konton som delas av flera personer;
- ge administratörsrättigheter till användare som inte behöver dem;
- ge en användare fler användarrättigheter än nödvändigt,
- glömma att ta bort tillfälliga behörigheter som beviljats en användare (t.ex. för en vikarie).
- glömma att ta bort användarkonton för personer som har lämnat organisationen eller bytt jobb.
Att gå längre
Upprätta, dokumentera och regelbundet se över alla policyer för åtkomstkontroll, när det gäller de personuppgiftsbehandlingar som genomförs av organisationen, policyer som bör omfatta följande:
- de förfaranden som ska tillämpas systematiskt då en anställd börjar, slutar eller behöver få ändrad behörighet vad gäller tillgång till personuppgifter.
- konsekvenserna för enskilda personer som har behörighet till personuppgifterna om säkerhetsåtgärderna inte följs.
- åtgärder för att begränsa och kontrollera tilldelningen och användningen av åtkomst till behandlingen.
I praktiken
- När en ny anställd gbörjar på företaget måste ni skapa ett nytt användarkonto med ett starkt lösenord. Anställda bör inte dela sina inlogg med varandra, särskilt om de inte har samma behörighet. I händelse av att de byter tjänst på företaget bör ni se över deras åtkomstbehörigheter till vissa filer eller system.
Pseudonymisera data
Pseudonymisering är behandling av personuppgifter på ett sådant sätt att det inte längre är möjligt att tillskriva personuppgifterna till en viss fysisk person utan användning av ytterligare information. Sådan ytterligare information måste hållas särskiljd och omfattas av tekniska och organisatoriska säkerhetsåtgärder.
I praktiken innebär pseudonymisering att direkt identifierbara uppgifter (namn, förnamn, personnummer, telefonnummer osv.) ersätts med indirekta identifieringsuppgifter (alias, löpnummer osv.). Det gör det möjligt att behandla uppgifter om individer utan att kunna identifiera dem på ett direkt sätt. Det är dock möjligt att spåra dessa individers identitet tack vare de ytterligare uppgifterna. Pseudonymiserade uppgifter är därför fortfarande personuppgifter och omfattas av GDPR. Pseudonymisering är också reversibel, till skillnad från anonymisering.
Pseudonymisering är en av de åtgärder som rekommenderas i GDPR för att begränsa riskerna i samband med behandling av personuppgifter.
Läs mer
Kryptera data
Kryptering är en process som består i att konvertera informationen till en kod för att förhindra obehörig åtkomst. Denna information kan endast läsas igen med rätt nyckel. Kryptering används för att garantera personuppgifternas konfidentialitet. Krypterade data är fortfarande personuppgifter. Som sådan kan kryptering betraktas som en pseudonymiseringsteknik.
Dessutom kan hashfunktioner användas för att säkerställa dataintegritet. Digitala signaturer, som inte bara säkerställer integriteten, gör det också möjligt att kontrollera informationens ursprung och äkthet.
Anonymisera data
Personuppgifter kan anonymiseras på ett sådant sätt att den enskilde inte längre kan identifieras. Anonymisering är en process som består i att använda en uppsättning tekniker för att göra personuppgifter anonyma på ett sådant sätt att det blir omöjligt att identifiera personen på något sätt som rimligen kan komma att användas.
Anonymisering, när den genomförs korrekt, kan göra det möjligt för er att använda data på ett sätt som respekterar enskildas rättigheter och friheter. Anonymisering öppnar upp för vidareutnyttjande av data som ursprungligen inte är tillåten på grund av uppgifternas personliga karaktär, och kan därmed göra det möjligt för organisationer att använda data för ytterligare ändamål utan att inkräkta på enskilda personers rätt till privatliv. Anonymisering gör det också möjligt att behålla uppgifter utöver lagringsperioden.
När anonymiseringen genomförs korrekt gäller GDPR inte längre de anonymiserade uppgifterna. Det är dock viktigt att komma ihåg att anonymisering av personuppgifter i praktiken inte alltid är möjlig eller lätt att uppnå. Det måste bedömas huruvida anonymiseringen kan tillämpas på de aktuella personuppgifterna och bevaras på ett framgångsrikt sätt, med beaktande av de särskilda omständigheterna vid behandlingen av personuppgifterna. Ytterligare juridisk eller teknisk expertis kan ofta behövas för att med framgång genomföra anonymiseringen i enlighet med dataskyddsförordningen.
Hur verifierar man anonymiseringens effektivitet?
Europeiska dataskyddsmyndigheter fastställer tre kriterier för att säkerställa att ett dataset verkligen är anonymt:
- Urskiljning: det bör inte vara möjligt att urskilja information om en enskild individ i datauppsättningen.
- Kopplingsbarhet: det bör inte vara möjligt att koppla samman separata data om samma person.
- Härledning: det bör inte vara möjligt att med nära inpå säkerhet härleda information om en individ.
I praktiken
- Urskiljning: i en databas med meritförteckningar där endast en persons för- och efternamn har ersatts av ett nummer (som endast motsvarar den personen) är det fortfarande möjligt att urskilja en viss person baserat på andra egenskaper. I detta fall betraktas personuppgifterna som pseudonymiserade och inte som anonymiserade.
- Kopplingsbarhet: en mappningsdatabas som innehåller enskilda personers adresser kan inte betraktas som anonym om andra databaser, som finns på annat håll, innehåller samma adresser med andra uppgifter som gör det möjligt att identifiera individer.
- Härledning: om ett påstått anonymt dataset innehåller information om skatteskulden för svarande i ett frågeformulär och alla manliga respondenter mellan 20 och 25 år inte är skattepliktiga, kan man dra slutsatsen att en viss svarande är beskattningsbar eller inte, när deras ålder och kön är kända.
Läs mer
Särskilda situationer
Säkerhetsåtgärder vid distansarbete
I samband med distansarbete är det nödvändigt att garantera säkerheten för de behandlade uppgifterna samtidigt som enskilda personers integritet respekteras.
Vad ska man göra:
- Upprätta en säkerhetspolicy för distansarbete eller åtminstone en uppsättning minimiregler som ska följas, och gör detta dokument tillgängligt för anställda i enlighet med era interna regler;
- Om ni behöver ändra verksamhetens regler för ert informationssystem för att möjliggöra distansarbete (t.ex. ändra inloggningsregler, fjärradministratörsåtkomst osv.), överväg riskerna och vidta vid behov åtgärder för att upprätthålla säkerhetsnivån.
- Utrusta alla era anställdas datorer med åtminstone en brandvägg, antivirusprogram och ett verktyg för att blockera åtkomst till skadliga webbplatser. Om de anställda kan använda sin egen utrustning, ge vägledning för hur den görs säker (se ”Säkerhetsåtgärder för BYOD”).
- Ställ in ett VPN för att undvika direkt exponering av era tjänster mot Internet när det är möjligt. Aktivera tvåfaktors VPN-autentisering om möjligt;
- Ge era anställda en lista över kommunikations- och samarbetsverktyg som är lämpliga för distansarbete, vilket garanterar konfidentialiteten för data. Välj verktyg som ni kontrollerar och se till att de ger åtminstone state-of-the-art autentisering och kryptering av kommunikation och att data under transport inte kan användas för andra ändamål (produktförbättring, reklam, etc.). Vissa konsumentprogram kan överföra användardata till tredje part och är därför särskilt olämpliga för företagsanvändning.
Säkerhetsåtgärder för BYOD (Ta med din egen enhet)
Med utvecklingen av BYOD, särskilt i små och medelstora företag, försvinner gränsen mellan yrkesliv och privatliv. Även om BYOD inte i sig utgör en behandling av personuppgifter är det fortfarande nödvändigt att säkerställa datasäkerheten.
Akronymen ”BYOD” står för ”Bring Your Own Device” och hänvisar till användningen av privat datorutrustning i ett professionellt sammanhang. Ett exempel på detta skulle vara en anställd som använder egen, privat utrustning som en dator, surfplatta eller smartphone för att ansluta till företagets nätverk.
Möjligheten att använda privata verktyg är i första hand en fråga om arbetsgivarens val och nationell lagstiftning. GDPR kräver att säkerhetsnivån för personuppgifter som behandlas är densamma, oavsett vilken utrustning som används. Arbetsgivare ansvarar för säkerheten för företagets personuppgifter, inklusive när de lagras på enheter över vilka de inte har någon fysisk eller juridisk kontroll, men vars användning de har auktoriserat att få tillgång till företagets IT-resurser.
De risker som det är viktigt att skydda er organisation mot sträcker sig från en engångsattack på tillgången till personuppgifterna, integriteten och sekretessen hos data till ett generellt angrepp av företagets informationssystem (intrång, virus, etc.).
Exempel-checklista
Ett exempel på hur en checklista för att förbättra säkerhetsnivån i er organisation kan se ut:
- Informera och utbilda användarna regelbundet om integritetsrelaterade risker
- Upprätta en intern policy och ge den bindande verkan
- Implementera inbyggt dataskydd och dataskydd som standard
- Se till att de personuppgifter som behandlas är adekvata, relevanta och begränsade till vad som är nödvändigt (dataminimering)
- Implementera en policy för informationsklassificering av konfidentiella uppgifter
- Ange särskilt om handlingar innehåller känsliga uppgifter
- Genomför informationssäkerhetsutbildningar och informationsmöten, tillsammans med regelbundna påminnelser.
- Teckna ett sekretessavtal med era anställda eller inkludera särskilda sekretessklausuler
- Tillhandahålla automatiskt utlogg om en dator inte använts under en viss tid, se till att brandvägg och antivirus är uppdaterade och att data säkerhetskopieras
- Begränsa fysisk anslutning av lagringsenheter (USB-minnen, externa hårddiskar etc.) till det väsentliga
- Skydda företagets lokaler (t.ex. med intrångslarm, rökdetektorer, elektroniska nycklar, särskilj olika utrymmen efter risk, tillstånd att komma åt specifika områden, särskilt brandbekämpningssystem)
- Ge alla användare ett unikt användar-id
- Kräv autentisering för att komma åt it-resurser
- Hantera behörigheter (t.ex. olika behörighetsprofiler efter behov, unikt användar-id, starka lösenord)
- Utfärda en säkerhetspolicy för distansarbete
- Ta bort åtkomstbehörigheter som inte längre används
- Genomför regelbunden översyn av behörigheterna
- Pseudonymisera eller anonymisera data för att begränsa möjligheten att återidentifiera individer
- Kryptera data för att förhindra obehörig åtkomst
- Installera en VPN-förbindelse för distansarbete
- Se till att säkra privata enheter som används i tjänsten (BYOD)