Datatilsynet modtager hver uge flere hundrede anmeldelser om brud på persondatasikkerheden, og mange af dem vedrører situationer, hvor der på forskellig vis utilsigtet gives adgang til eller videregives personoplysninger til uvedkommende. Det er ofte de samme typescenarier, der går igen, og mange af bruddene kunne formentlig være undgået, hvis organisationen havde haft de rette sikkerhedstiltag på plads.
Med udgangspunkt i 10 typiske brud har Datatilsynet derfor samlet en række gode råd til, hvilke sikkerhedstiltag der kan overvejes for at nedbringe risikoen for disse typer af brud.
- I det daglige arbejde med personoplysninger er det vigtigt at have fokus på, hvilke risici der er forbundet med håndteringen af oplysningerne og at få gennemført de sikkerhedsforanstaltninger – organisatoriske såvel som tekniske – der er relevante og nødvendige for at kunne beskytte personoplysningerne på tilstrækkelig vis, da kompromittering af sikkerheden kan have alvorlige konsekvenser for de berørte personer. Det forebyggende arbejde skal gennemføres løbende, da risiciene kan ændre sig. Når brud opstår, skal man desuden overveje, om der er behov for at tilpasse og eventuelt skærpe sikkerhedsforanstaltningerne for at mindske risikoen for fremtidige brud, fortæller Vibeke Dyssemark Thomsen, chefkonsulent i Datatilsynet.
Sikkerhedstiltagene kan både være af teknisk og organisatorisk karakter, og i mange tilfælde er det relevant med begge dele. Et typisk brud er eksempelvis hvor en medarbejder ved en fejl sender en mail med oplysninger, der er tiltænkt én modtager, til en anden modtager med samme eller forveksleligt navn, fordi navnene forveksles i selve afsendelsesøjeblikket. Det kan også være situationer, hvor der utilsigtet eksponeres oplysninger om en beskyttet adresse, fordi oplysningen om adressebeskyttelse på grund af dårligt design, kodefejl eller manglende tests ikke slår igennem fra ét it-system til et andet. Til hvert brud er der angivet forslag til relevante sikkerhedsmæssige tiltag, der kan overvejes, ligesom der også flere steder henvises til foranstaltninger fra Datatilsynets nyligt offentliggjorte katalog over sikkerhedsforanstaltninger.
Vejledningen er især målrettet medarbejdere, der har mulighed for at påvirke organisationens regler, procedurer, undervisning og andre awarenessaktiviteter og tekniske opsætninger i it-miljøer for derigennem at beskytte organisationen imod disse typiske brud på persondatasikkerheden. Alle der ofte arbejder digitalt med personoplysninger kan dog have gavn af et fokus på de beskrevne scenarier, da disse typer brud tegner sig for en meget betragtelig andel af de brud, som anmeldes til Datatilsynet hver uge.
Sverige
