11
Sep
Kan din virksomhed håndtere et sikkerhedsbrud?

Inden maj 2018 skal alle virksomheder danne sig et detaljeret overblik over de persondata, de ligger inde med, sikre, at de er ordentligt beskyttet samt have en beredskabsplan klar i tilfælde af eksempelvis sikkerhedsbrud. Det er en stor mundfuld, og er du ikke kommet i gang endnu, kan det derfor kun gå for langsomt, konstaterer teamleder (jura) Kristina Rohani. I løbet af efteråret afholder vi en række konferencer om Persondataforordningen: To, der hjælper virksomheder, der endnu ikke har startet tilpasningsprocessen, i gang, og tre, der hjælper dem videre, der allerede er startet.

Du har sikkert hørt om Persondataforordningen, som træder i kraft den 25. maj 2018 – og du har sikkert også fået øjnene op for, at den fordrer en større mængde arbejde for nærmest alle private virksomheder:

”På nuværende tidspunkt, skulle man efterhånden gerne være færdig med at kortlægge ’dataflowet’ i sin virksomhed – altså at danne sig et overblik over, hvilke persondata virksomheden har, hvor de ligger og hvem der har adgang til dem. Man skulle efterhånden også gerne have lavet en skriftlig beskrivelse af alt dette, som forordningen jo stiller krav om”, siger teamleder (jura) Kristina Rohani og fortsætter:

”Herefter kan man gå videre til næste step: Nemlig konsekvensanalyserne. Ifølge forordningen skal der laves en konsekvensanalyse for alle typer af persondata, som virksomheden ligger inde med. Formålet er at vurdere risikoen for læk af persondata – fx ved et hackerangreb – og herfra nå frem til, hvilke konkrete forandringer det er nødvendigt at foretage i henhold til behandlingen af persondata”, siger Kristina Rohani og uddyber:

”Forsimplet sagt kan resultatet af en konsekvensanalyse være lav risiko, mellem risiko eller høj risiko. Ved en høj risiko vil det som oftest være nødvendigt at destruere de pågældende persondata og simpelthen stoppe med at indsamle dem. Man må simpelthen vurdere, hvordan det formål, som persondataene skal bruges til, kan opnås uden at indsamle de pågældende persondata længere. Ved en lav risiko kan man til gengæld typisk fortsætte med at behandle dataene, som man plejer, evt. ved at etablere nogle få sikkerhedsforanstaltninger. Der er forskel på følsomhedsgraden af personoplysninger, hvilket har indflydelse på, hvor beskyttede oplysningerne skal være, og hvordan man må behandle dem. Får en hacker fx fat i en ansættelseskontrakt, der både indeholder navn, CPR-nummer, telefonnummer og mailadresse – ja, så har han nok informationer til at stjæle personens identitet. Og derfor er det ekstra vigtigt, at ansættelseskontrakter og tilsvarende behandles meget varsomt”.

Skulle uheldet alligevel være ude, fordrer Persondataforordningen, at der foreligger en skriftlig procedure for, hvad man stiller op:

“Udover, at man skal nedskrive, hvor alle typer personoplysninger bliver indsamlet og opbevaret, hvem der har adgang til dem og hvilke sikkerhedsforanstaltninger, man har gjort sig; så skal man også nedskrive, hvad man gør i tilfælde af sikkerhedsbrud eller hackerangreb, hvor lang tid der går, før medarbejderne bliver orienteret, hvilken procedure man har for afhjælpning og hvem der yder support. Og så skal man inden for 72 timer anmelde sikkerhedsbruddet til Datatilsynet”, siger Kristina Rohani.

Udvælg den rette persondataansvarlige
Det er nødvendigt, at du udvælger mindst en person, der er ansvarlig for, at virksomheden bliver tilpasset Persondataforordningen i tide; én der sørger for at sætte de nødvendige forandringer i gang og for, at virksomhedens procedurer for persondatabehandling bliver dokumenteret skriftligt:

”Jeg anbefaler, at man udvælger denne person med omhu. Det er en stor opgave, og personen kommer til at spille en vigtig rolle. Typisk vil han eller hun også være kontaktperson, hvis Datatilsynet kommer på besøg”, siger Kristina Rohani.

Få hjælp til at tilpasse din virksomhed til Persondataforordningen
Vi afholder i den kommende tid en række konferencer om Persondataforordningen: Tre konferencer med fokus på konsekvensanalyse, IT-sikkerhed og beredskabsplaner ved læk af persondata samt to mere grundlæggende konferencer med fokus på Persondataforordningens bestemmelser og disses betydning for den enkelte virksomhed:

”De tre konferencer med fokus på konsekvensanalyse m.v. kræver, at man har et vist kendskab til Persondataforordningen i forvejen – hvilket man kan få ved at deltage i de to mere grundlæggende konferencer. Hvis ikke man er gået i gang med at tilpasse sin virksomhed til forordningen endnu, har man rigtig travlt, og jeg anbefaler dermed på det kraftigste, at man skynder sig at tilmelde sig en af de to grundlæggende konferencer”, siger Kristina Rohani.

Vi afholdt allerede i foråret en række konferencer med fokus på Persondataforordningens bestemmelser – dette med succes:

”Jeg fik konkretiseret, hvad Persondataforordningen egentlig drejer sig om – og jeg fik en klar visuel idé om, hvordan man kan gribe implementeringen an, og hvilke steps man skal igennem. Derudover blev jeg klar over, at der er nogle ting, man bare SKAL nå at gøre. Persondataforordningen blev mindre fremmed for mig, og jeg fik øjnene op for, at implementeringen vil tage tid, og at der først og fremmest er behov for overblik”, fortæller Heidi Bay Rasmussen, controller hos Egeskov Slot.

Læs mere om og tilmeld dig en af vores 5 konferencer:

 

Læs mere om Persondataforordningen her.