Flere og flere virksomheder får kritik af Datatilsynet for at have utilstrækkelige sikkerhedsforanstaltninger i forbindelse med opbevaring og behandling af persondata. Det sker på trods af at mange virksomheder ellers er gode til at synliggøre, at de overholder GDPR.
Sandheden er, at langt de fleste virksomheder ikke formår at efterleve GDPR, men nøjes med at udføre papirarbejdet og glemmer alt det praktiske. Det er bl.a. sikring af persondata i IT-systemerne, oprydning og sletning af data og undervisning af medarbejderne. Det har afledt en masse kritik fra Datatilsynet, som gang på gang finder virksomheders behandling og opbevaring af personoplysninger mangelfulde og ulovlige.
Som dataansvarlig skal du kunne sikre et passende sikkerhedsniveau. Det gør du ved at foretage en risikovurdering og indføre passende sikkerhedsforanstaltninger, der beskytter de data virksomheden behandler.
I de seneste afgørelser fra Datatilsynet er konklusionen den samme: Brug tofaktorgodkendelse.
Det er ikke nok at nøjes med brugernavn og adgangskode. Men hvis du tilføjer endnu en faktor til godkendelsesprocessen, øges sikkerheden for dine konti, og det gør det sværere for en hacker at få adgang til persondata, som du behandler og er ansvarlig for.
Konsekvenser – Hvis du ikke har styr på din sikkerhed
- Hackerangreb – Du bliver ramt af IT kriminalitet og risikerer at miste værdifulde data eller store pengebeløb.
- Bøde – Der gives i øjeblikket bøder på op til 1 mio. kr. hos virksomheder, der ikke formår at passe på deres personoplysninger.
- Tab af omdømme. Tillid har stor værdi i købsprocessen. Et hackerangreb kan betyde, at dine kunder mister tilliden til dig, hvorved du risikerer at miste dem. Det kan have store økonomiske konsekvenser for dig.
Hvad er tofaktorgodkendelse?
Når du normalt logger ind, skal du indtaste dit brugernavn og en adgangskode. Ved tofaktorgodkendelse bliver du bedt om at afgive endnu en oplysning.
Denne anden faktor (tofaktorgodkendelse) kan komme fra en af følgende kategorier
- En kode fra en godkendelsesapp på din telefon eller en kode, der sendes via SMS til din telefon
- En biometrisk indikator, f.eks. dit fingeraftryk (Touch ID) eller ansigtsgenkendelse (Face ID)
Tofaktorgodkendelse kræver altså, at man har fysisk adgang til brugerens mobiltelefon, og det gør det sværere for hackere at få adgang, selvom de har et password.
Gode råd
- Du skal altid foretage en risikovurdering. Sådan sikrer du, at du kan dokumentere baggrunden for dit sikkerhedsniveau
- Brug tofaktorgodkendelse ved log-in uden for arbejdsstedet
- Anvend VPN (Virtual Private Network) når det er muligt
- Opdater jeres hjemmeside og de IT-systemer, som I måtte anvende. Sådan sikrer du, at I har den seneste sikkerhedsopdatering
- Sørg for at fratrådte medarbejdere ikke længere har adgang til virksomhedens systemer og data
Er du i tvivl om din virksomhed har etableret tilstrækkelige sikkerhedsforanstaltninger?
Vi har mange års erfaring med at rådgive inden for GDPR. Kontakt os nedenfor, hvis du har nogle spørgsmål.
Læs også: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
Artiklen er udarbejdet i samarbejde med e-ducators.
Har du spørgsmål?
Hvis du ønsker at høre mere, eller har spørgsmål til artiklen, så er du velkommen til at kontakte os.
Kontakt en ekspert på området
