Det er alt sammen meget godt at have gode intentioner om at holde personlige data sikre, men for virkelig at være compliant bør organisationer sikre, at de bruger passende tekniske og organisatoriske foranstaltninger.
Med den første reelle ændring af databeskyttelsesloven i 20 år, lad os tage et kig på, hvad den generelle databeskyttelsesforordning (BNPR) siger om sikkerhedsprincipper.
sikkerhed af personlige data er ikke noget nyt. Det Databeskyttelse Act (DPA) 1998 anbefaler, at bedste praksis omfatter vurdering af risikoen for information og indførelse af passende sikkerhedsforanstaltninger. Men med fremkomsten af GDPR er disse anbefalinger nu et lovkrav.
I de nye forordninger taler artikel 5, stk. 1, litra f). integritet og fortrolighed af personlige data, nu kendt som GDPR's 'sikkerhedsprincip':
"Behandlet på en måde, der sikrer passende sikkerhed for personoplysningerne, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, ved brug af passende tekniske eller organisatoriske foranstaltninger."
Formålet med sikkerhedsprincippet er at sikre, at din organisations sikkerhedsforanstaltninger er med til at forhindre, at de personlige data, du ligger inde med, går tabt, stjålet eller på nogen måde kompromitteret. Så når vi taler om informationssikkerhed, omfatter vi også cyber-, fysisk og organisatorisk sikkerhed.
Information Commissioner's Office (ICO) anbefaler, at sikkerhedsprincippet overvejes sammen med GDPR's artikel 32, specifikt artikel 32, stk.
"Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, skal den dataansvarlige og databehandleren implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen."
Hvis organisationer og enkeltpersoner undlader at følge med informationssikkerhed processer og principper, kan risikoen for ejendom og liv være betydelig. Nogle eksempler på skade omfatter:
Frem for alt er informationssikkerhed et lovkrav, der også hjælper dig med at praktisere god dataforvaltning og demonstrere over for dine forsyningskæde og kunder, som du kan stole på.
Derudover, jo mere arbejde du lægger her, jo bedre, da ICO vurderer de tekniske og organisatoriske foranstaltninger, du har på plads, når du overvejer en bøde – hvis det værste skulle ske.
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Som vi allerede har været inde på, omfatter sikkerhedsprincipperne alle aspekter af persondatabehandling (cyber og fysisk).
Så sikkerhedsforanstaltningerne vil sikre, at personoplysninger kun kan tilgås af autoriserede personer med henblik på videregivelse eller sletning. Foranstaltningerne vil sikre, at dataene er nøjagtige og fuldstændige og forbliver tilgængelige og brugbare. Dette henviser til princippet om "fortrolighed, integritet og tilgængelighed".
Selvom GDPR ikke giver specifikke anbefalinger eller definitioner af dine sikkerhedsforanstaltninger, forventes din organisation at implementere et 'passende' sikkerhedsniveau. For at afgøre, hvad der anses for passende for dig, bør du først måle risikoen og vurdere værdien af personoplysningerne.
En organisatorisk foranstaltning vil omfatte udførelse af en informationsrisikovurdering. Også at opbygge en kultur af information og cybersikkerhed i din organisation er afgørende for at føre principperne igennem på daglig basis. Dette kan være et ansvar Databeskyttelsesofficer (DPO) eller et andet medlem af personalet, der er gjort ansvarlig for at kommunikere sikkerhedsbevidsthed.
ICO foreslår også, at du medtager følgende, når du tager skridt til at opfylde sikkerhedsprincippet:
- koordinering mellem nøglepersoner i din organisation (f.eks. skal sikkerhedschefen vide om idriftsættelse og bortskaffelse af alt it-udstyr);
- adgang til lokaler eller udstyr givet til nogen uden for din organisation (f.eks. til computervedligeholdelse) og de yderligere sikkerhedsovervejelser, dette vil generere;
- business kontinuitet ordninger, der identificerer, hvordan du vil beskytte og gendanne alle personlige data, du har; og
- periodiske kontroller for at sikre, at dine sikkerhedsforanstaltninger forbliver passende og opdaterede.
En skræddersyet hands-on session baseret på dine behov og mål
Det første skridt i at overholde princippet om fortrolighed, integritet og tilgængelighed er at vide, hvor alle dine personlige data er. Heldigvis ISMS.online har en løsning for det.
100 % af vores brugere opnår ISO 27001-certificering første gang