Fem eksempler på IT-miljøer, der ikke opfylder GDPR-kravene

Med indførelsen af GDPR har du sikkert modtaget en lind strøm af e-mails, der fortæller dig, at de virksomheder, du har været i kontakt med, har opdateret deres privatlivs- og cookiepolitikker. Men er alle disse virksomheder virkelig praktisk udrustet til at opfylde kravene i GDPR? Ved første øjekast mangler der ofte den tekniske understøttelse, som er nødvendig for at bringe politikkerne i overensstemmelse med virkeligheden. Indtil videre overholder mange organisationer kun GDPR på papiret...

Utilstrækkelig beskyttelse af mobile enheder

Et af kravene i GDPR er, at data på vores mobile enheder og computere skal være krypterede. Kryptering betragtes i dag som en standardforanstaltning til at beskytte data, og du bør have et IT-miljø, der giver mulighed for at gøre det. På en ubeskyttet computer uden kryptering kan du blot geninstallere operativsystemet og derefter læse alle data på disken. Men hvis dine data er krypterede, kan ingen få adgang til indholdet på enheden uden en krypteringsnøgle.

I mange IT-miljøer er der ingen mulighed for at kontrollere virksomhedens computere og mobile enheder centralt. Hvis en enhed mistes eller på anden måde falder i de forkerte hænder, kan man ikke kontrollere, om krypteringen er aktiveret, eller aktivere krypteringen på afstand.

Selvfølgelig kan du beskytte dine data tilstrækkeligt på andre måder - hvis enhederne er helt stationære, aldrig forlader kontorlokalerne, og lokalerne også har en stærk fysisk indbrudsbeskyttelse. Men i dag lever vi i en mobil verden, og hvis du ikke kan fjernstyre din virksomheds enheder, er de eksponerede, så snart de forlader dine lokaler. Per definition opfylder du ikke længere GDPR-kravene til databeskyttelse.

Dine e-mails er ikke krypterede

Kryptering af e-mails er også noget, som mange mangler støtte til i deres IT-miljøer. Hvis persondata overføres via e-mail uden kryptering, er det i strid med GDPR-kravene, fordi e-mail er en relativt usikker måde at kommunikere på.

For at leve op til kravene skal du derfor kunne indstille alle e-mails til at være krypterede. Alternativt skal din e-mailklient genkende, om din e-mail indeholder personlige data, så den automatisk krypteres af den grund. En tredje mulighed er at gøre det manuelt, hver gang du sender en e-mail.

Mange e-mailudbydere tilbyder ikke krypteringsbeskyttelse, og i stedet for at bruge en tredjepartsudbyder til kryptering, er en e-mailtjeneste med integreret krypteringsfunktion at foretrække.

Audit logs - en forudsætning for omfattende hændelsesrapportering

GDPR stiller høje krav til sporbarhed og evnen til at undersøge eventuelle overtrædelser eller andre typer hændelser. Det er en forudsætning for, at du kan rapportere en hændelse korrekt til den svenske datatilsynsmyndighed inden for 72 timer. For at sikre omfattende rapportering har du derfor brug for et IT-miljø, hvor du kan spore brugeraktivitet gennem hændelseslogfiler.

I et hosted miljø, hvor dine servere hostes af en IT-partner med et netværk, der inkluderer dine data såvel som andre kunders data, er det svært at få fat i firewall-logfiler. Det skyldes, at dine logfiler ikke kan skelnes fra andre kunders logfiler. Det gør det vanskeligt, hvis ikke umuligt, at sikre en ordentlig undersøgelse af enhver hændelse.

Søgbarhed letter anmodninger om udtræk og sletning af optegnelser

For effektivt at kunne håndtere anmodninger om udtræk eller sletning af persondata, skal dine systemer understøtte søgninger i strukturerede og ustrukturerede data. I et traditionelt IT-miljø kan du f.eks. have en række filsystemservere i din organisation. Du har måske også en separat cloud-løsning til fildeling for at få adgang til data uden for arbejdspladsen, for eksempel Dropbox. Og så har du e-mail - enten på en lokal server eller hos en anden e-mailudbyder.

Normalt kan du ikke søge efter oplysninger i dine filer på en server. Alternativet er manuelt at gå igennem fil for fil, hvilket naturligvis er for tidskrævende. Men hvis der er et velfungerende økosystem af forskellige funktioner - dokumenter, mail, chat og så videre - kan du foretage søgningen centralt og behøver ikke at gå igennem fil for fil, system for system.

Kan du stole på, at dine medarbejdere altid sletter gamle data?

GDPR kræver også, at data, som du ikke længere har brug for, skal slettes inden for en bestemt tidsperiode. Dette arbejde kan selvfølgelig gøres manuelt - du kan f.eks. kræve, at dine medarbejdere går ind og rydder op i deres indbakker eller ældre dokumenter med jævne mellemrum.

Problemet er, at man ikke kan sikre sig, at det rent faktisk bliver gjort. Den eneste måde, du kan være sikker på, at de data, der skal slettes, rent faktisk bliver slettet, er, hvis du har en automatiseret løsning med påmindelser, notifikationer og centralt styrede sletterutiner.

Hos WeSafe ved vi, hvad der kræves af dit IT-miljø for at opfylde kravene i GDPR. Vil du vide mere om, hvordan vi kan hjælpe dig med at sikre compliance i din organisation? Så tøv ikke med at kontakte os!

Inspiration og viden direkte til din indbakke

Tilmeld dig vores månedlige inspirationsnyhedsbrev, der giver dig tips, indsigt og råd om nye arbejdsmetoder, processer og sikkerhed i forbindelse med Microsoft 365, Azure og forskellige værktøjer i Microsofts cloud-platform.

Gratis sikkerhedsanalyse af dit Microsoft 365-miljø

Få konkrete og praktiske tips til, hvordan du beskytter din organisation bedre!

Læs mere og book

Skrevet af:

Marcus Juvin

Teknisk leder - sikkerhed og compliance

marcus.juvin@upheads.se