Opdateringer af GDPR-sektionen: Sikkerhed af personlige data

Book en demo

forretning,kvinde,arbejder,og,skriver,på,laptop,computer,på,den

Det er alt sammen meget godt at have gode intentioner om at holde personlige data sikre, men for virkelig at være compliant bør organisationer sikre, at de bruger passende tekniske og organisatoriske foranstaltninger.

Med den første reelle ændring af databeskyttelsesloven i 20 år, lad os tage et kig på, hvad den generelle databeskyttelsesforordning (BNPR) siger om sikkerhedsprincipper.

GDPR og sikkerhed af persondata

sikkerhed af personlige data er ikke noget nyt. Det Databeskyttelse Act (DPA) 1998 anbefaler, at bedste praksis omfatter vurdering af risikoen for information og indførelse af passende sikkerhedsforanstaltninger. Men med fremkomsten af ​​GDPR er disse anbefalinger nu et lovkrav.

I de nye forordninger taler artikel 5, stk. 1, litra f). integritet og fortrolighed af personlige data, nu kendt som GDPR's 'sikkerhedsprincip':

"Behandlet på en måde, der sikrer passende sikkerhed for personoplysningerne, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, ved brug af passende tekniske eller organisatoriske foranstaltninger."

Formålet med sikkerhedsprincippet er at sikre, at din organisations sikkerhedsforanstaltninger er med til at forhindre, at de personlige data, du ligger inde med, går tabt, stjålet eller på nogen måde kompromitteret. Så når vi taler om informationssikkerhed, omfatter vi også cyber-, fysisk og organisatorisk sikkerhed.

Information Commissioner's Office (ICO) anbefaler, at sikkerhedsprincippet overvejes sammen med GDPR's artikel 32, specifikt artikel 32, stk.

"Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, skal den dataansvarlige og databehandleren implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen."

Hvorfor er informationssikkerhed vigtig?

Hvis organisationer og enkeltpersoner undlader at følge med informationssikkerhed processer og principper, kan risikoen for ejendom og liv være betydelig. Nogle eksempler på skade omfatter:

  • betalingskort, fordele, økonomisk bedrageri og identitetssvig;
  • stjålne personlige data får phishing- eller spear-phishing-angreb til at se mere autentiske ud;
  • lovovertrædere og vidner i fare for at komme til skade eller intimidere; og
  • eksponering af Personligt identificerbare oplysninger af servicepersonale eller retshåndhævelse.

Frem for alt er informationssikkerhed et lovkrav, der også hjælper dig med at praktisere god dataforvaltning og demonstrere over for dine forsyningskæde og kunder, som du kan stole på.

Derudover, jo mere arbejde du lægger her, jo bedre, da ICO vurderer de tekniske og organisatoriske foranstaltninger, du har på plads, når du overvejer en bøde – hvis det værste skulle ske.

ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.

Daniel Clements

Informationssikkerhedschef, Honeysuckle Health

Book en demo

Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Dean Fields
IT-direktør NHS fagfolk
100 % af vores brugere består certificeringen første gang
Book din demo

Sikkerhedsforanstaltninger og GDPR – Hvad skal de beskytte?

Som vi allerede har været inde på, omfatter sikkerhedsprincipperne alle aspekter af persondatabehandling (cyber og fysisk).

Så sikkerhedsforanstaltningerne vil sikre, at personoplysninger kun kan tilgås af autoriserede personer med henblik på videregivelse eller sletning. Foranstaltningerne vil sikre, at dataene er nøjagtige og fuldstændige og forbliver tilgængelige og brugbare. Dette henviser til princippet om "fortrolighed, integritet og tilgængelighed".

Selvom GDPR ikke giver specifikke anbefalinger eller definitioner af dine sikkerhedsforanstaltninger, forventes din organisation at implementere et 'passende' sikkerhedsniveau. For at afgøre, hvad der anses for passende for dig, bør du først måle risikoen og vurdere værdien af ​​personoplysningerne.

Hvilke organisatoriske foranstaltninger bør du inkludere for GDPR-sikkerhed?

En organisatorisk foranstaltning vil omfatte udførelse af en informationsrisikovurdering. Også at opbygge en kultur af information og cybersikkerhed i din organisation er afgørende for at føre principperne igennem på daglig basis. Dette kan være et ansvar Databeskyttelsesofficer (DPO) eller et andet medlem af personalet, der er gjort ansvarlig for at kommunikere sikkerhedsbevidsthed.

ICO foreslår også, at du medtager følgende, når du tager skridt til at opfylde sikkerhedsprincippet:

  • koordinering mellem nøglepersoner i din organisation (f.eks. skal sikkerhedschefen vide om idriftsættelse og bortskaffelse af alt it-udstyr);
  • adgang til lokaler eller udstyr givet til nogen uden for din organisation (f.eks. til computervedligeholdelse) og de yderligere sikkerhedsovervejelser, dette vil generere;
  • business kontinuitet ordninger, der identificerer, hvordan du vil beskytte og gendanne alle personlige data, du har; og
  • periodiske kontroller for at sikre, at dine sikkerhedsforanstaltninger forbliver passende og opdaterede.

Se vores platformfunktioner i aktion

En skræddersyet hands-on session baseret på dine behov og mål

Book din demo

Det første skridt i at overholde princippet om fortrolighed, integritet og tilgængelighed er at vide, hvor alle dine personlige data er. Heldigvis ISMS.online har en løsning for det.

« Hvorfor GDPR er en god grund til at investere i en ISMS

GDPR og dokumentation »

100 % af vores brugere opnår ISO 27001-certificering første gang

Start din rejse i dag
Se hvordan vi kan hjælpe dig

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere