Fem eksempler på IT-miljøer som ikke oppfyller GDPR-kravene

I forbindelse med innføringen av GDPR har du sikkert mottatt en jevn strøm av e-poster om at selskaper du har vært i kontakt med, har oppdatert retningslinjene sine for personvern og informasjonskapsler. Men er alle disse selskapene egentlig praktisk rustet til å oppfylle kravene i personvernforordningen? Ved første øyekast mangler ofte det tekniske grunnlaget som kreves for å bringe retningslinjene i samsvar med virkeligheten. Så langt er det mange organisasjoner som bare oppfyller personvernforordningen på papiret...

Utilstrekkelig beskyttelse av mobile enheter

Et av kravene i GDPR er at data på mobile enheter og datamaskiner skal krypteres. Kryptering regnes i dag som et standardtiltak for å beskytte data, og du bør ha et IT-miljø som gir mulighet for dette. På en ubeskyttet datamaskin uten kryptering kan du ganske enkelt installere operativsystemet på nytt og deretter lese alle dataene på disken. Men hvis dataene er kryptert, kan ingen få tilgang til innholdet på enheten uten en krypteringsnøkkel.

I mange IT-miljøer er det ikke mulig å kontrollere bedriftens datamaskiner og mobile enheter sentralt. Hvis en enhet kommer på avveie eller på annen måte havner i feil hender, kan du ikke kontrollere om krypteringen er aktivert eller aktivere krypteringen eksternt.

Du kan selvfølgelig beskytte dataene dine på andre måter - hvis enhetene er helt stasjonære, aldri forlater kontorlokalene og lokalene også har sterk fysisk innbruddsbeskyttelse. Men i dag lever vi i en mobil verden, og hvis du ikke kan fjernstyre bedriftens enheter, er de eksponert så snart de forlater lokalene dine. Per definisjon oppfyller du ikke lenger GDPR-kravene til databeskyttelse.

E-postene dine er ikke kryptert

Kryptering av e-post er også noe mange mangler støtte for i sine IT-miljøer. Hvis personopplysninger overføres via e-post uten kryptering, er det i strid med GDPR-kravene fordi e-post er en relativt usikker måte å kommunisere på.

For å oppfylle kravene bør du derfor kunne angi at all e-post skal være kryptert. Alternativt må e-postklienten din gjenkjenne om e-posten inneholder personopplysninger, slik at den automatisk krypteres av den grunn. Et tredje alternativ er å gjøre det manuelt hver gang du sender en e-post.

Mange e-postleverandører tilbyr ikke krypteringsbeskyttelse, og i stedet for å bruke en tredjepartsleverandør for kryptering er det bedre å bruke en e-posttjeneste med integrert krypteringsfunksjonalitet.

Revisjonslogger - en forutsetning for omfattende hendelsesrapportering

GDPR stiller høye krav til sporbarhet og evne til å undersøke eventuelle brudd eller andre typer hendelser. Dette er en forutsetning for at du skal kunne rapportere en hendelse korrekt til Datatilsynet innen 72 timer. For å sikre omfattende rapportering trenger du derfor et IT-miljø der du kan spore brukeraktivitet gjennom hendelseslogger.

I et vertsbasert miljø, der serverne dine driftes av en IT-partner med et nettverk som omfatter både dine og andre kunders data, er det vanskelig å få tak i brannmurslogger. Årsaken er at loggene dine ikke kan skilles fra andre kunders logger. Dette gjør det vanskelig, for ikke å si umulig, å sikre en forsvarlig etterforskning av en eventuell hendelse.

Søkbarheten forenkler forespørsler om utdrag og sletting av poster.

For å kunne håndtere forespørsler om uttrekk eller sletting av personopplysninger på en effektiv måte, må systemene dine støtte søk i strukturerte og ustrukturerte data. I et tradisjonelt IT-miljø kan du for eksempel ha en rekke filsystemservere i organisasjonen. Du kan også ha en egen skytjenesteløsning for fildeling for å få tilgang til data utenfor arbeidsplassen, for eksempel Dropbox. Og så har du e-post - enten på en lokal server eller hos en annen e-postleverandør.

Normalt kan du ikke søke etter informasjon i filene dine på en server. Alternativet er å gå gjennom fil for fil manuelt, noe som selvsagt er for tidkrevende. Men hvis det finnes et fungerende økosystem av ulike funksjoner - dokumenter, e-post, chat og så videre - kan du gjøre søket sentralt og slipper å gå gjennom fil for fil, system for system.

Kan du stole på at de ansatte alltid sletter gamle data?

GDPR krever også at data som du ikke lenger trenger, skal slettes innen en viss tid. Dette arbeidet kan selvsagt gjøres manuelt - du kan for eksempel be de ansatte om å gå inn og rydde i innboksen eller eldre dokumenter med jevne mellomrom.

Problemet er at du ikke kan sikre at det faktisk blir gjort. Den eneste måten du kan være sikker på at dataene som skal slettes, faktisk blir slettet, er hvis du har en automatisert løsning med påminnelser, varsler og sentralt styrte sletterutiner.

Vi i WeSafe vet hva som kreves av IT-miljøet ditt for å oppfylle kravene i personvernforordningen. Vil du vite mer om hvordan vi kan hjelpe deg med å sikre samsvar i organisasjonen din? Ikke nøl med å kontakte oss!

Inspirasjon og kunnskap rett i innboksen din

Meld deg på vårt månedlige inspirasjonsnyhetsbrev som gir deg tips, innsikt og råd om nye arbeidsmåter, prosesser og sikkerhet knyttet til Microsoft 365, Azure og ulike verktøy i Microsofts skyplattform.

Gratis sikkerhetsanalyse av Microsoft 365-miljøet ditt

Få konkrete og praktiske tips om hvordan du kan beskytte organisasjonen din bedre!

Les mer og bestill

Skrevet av:

Marcus Juvin

Teknisk leder - Sikkerhet og samsvar

marcus.juvin@upheads.se