Der var engang, hvor sikkerheden bestod i, at en firewall holdt de onde ude, og hvor alle brugere havde hver sit kodeord på mindst seks tegn for at sikre, at deres konti ikke kunne kompromitteres. Det er fortid. Vi ved nu fra moderne sikkerhedstankegang, at det ikke længere er nok kun at iværksætte forebyggende foranstaltninger (såsom firewalls og kodeord). Nu om dage betyder sikkerhed, at man både er i stand til at beskytte sine digitale aktiver mod at blive kompromitteret, at man kan opdage, når noget udgør en trussel, og at man kan håndtere sikkerhedshændelser, så man hurtigt kan vende tilbage til normal drift.

I den nye databeskyttelsesforordning er sikkerhedsafsnittet væsentligt udvidet set i forhold til forordningens forgænger, databeskyttelsesdirektivet. Sikkerhed er nu beskrevet i tre artikler (artikel 32-34) i stedet for en (artikel 17), og der er indført en anmeldelsespligt.

Beskyt de oplysninger, der behandles

GDPR foreskriver, at man beskytter de personoplysninger, man behandler, ordentligt. Den grundlæggende beskrivelse af, hvordan dette gøres, er uændret i forhold til databeskyttelsesdirektivets definitionen. Sikkerhed beskrives stadig som en risikostyringsproces, hvor man først skal vurdere risikoen og derefter se på, hvad der rent sikkerhedsmæssigt er muligt. Når risikoen er vægtet mod omkostningerne, skal sikkerhedsforanstaltninger defineres. Det er der intet nyt i – og i øvrigt har ordentlig informationssikkerhed altid været sådan. Der er dog nogle aspekter, der skal tages med i overvejelserne:

  • Man skal vurdere risikoen for, at fysiske personers rettigheder bliver krænket, og man kan medtage de finansielle risici, ens virksomhed kan blive udsat for, når persondatasikkerheden bliver kompromitteret. Sikkerhedsrisikovurderinger vedr. persondata skal som minimum indeholde overvejelser om, hvilken påvirkning et sikkerhedsbrist vil have på en fysisk person – resten er ikke obligatorisk.
  • Pseudonymisering og kryptering af personoplysninger foreslås som gode sikkerhedsforanstaltninger, eftersom sikkerhed jo drejer sig om de tre begreber fortrolighed, integritet og tilgængelighed og om at være modstandsdygtig over for driftsafbrydelser. Desuden foreslås beredskabsplaner og indførelse af procedurer til regelmæssigt at vurdere virksomhedens sikkerhedsforanstaltninger.
  • Sikkerhed er ikke længere kun den dataansvarliges ansvar. Databehandleren er ifølge GDPR nu forpligtet til at træffe passende sikkerhedsforanstaltninger uafhængigt af den dataansvarlige. Det betyder, at databehandlere kan modtage henvendelser direkte fra tilsynsmyndigheder, når de ikke opfylder deres sikkerhedskrav, og at de således ikke længere kan dække sig ind under de dataansvarlige.

Anmeldelse af brud på persondatasikkerheden

Som noget nyt er der i GDPR indført begrebet anmeldelse af brud på persondatasikkerheden. Det vil sige, at hvis sikkerhedsforanstaltninger ikke overholdes, og personoplysninger behandles på ulovlig vis, skal den dataansvarlige rapportere et sådant brud til tilsynsmyndigheden inden for 72 timer og om muligt også til de registrerede, der er berørt af bruddet. Dette er påkrævet, medmindre man kan påvise, at bruddet ikke har forårsaget nogen egentlige risici for de registrerede eller andre fysiske personer.

Selv om kravet om anmeldelse af brud på persondatasikkerheden er et nyt element i GDPR, er kravet velkendt. Det har været omfattet af e-datadirektivet i nogen tid nu, hvilket vil sige, at teleselskaber i EU dagligt beskæftiger sig med det. Desuden har en række lande, heriblandt Holland, indført forpligtelser til at anmelde brud på persondatasikkerheden. Som følge heraf er der allerede udstedt flere vejledninger i, hvordan man afgør, om et brud er alvorligt nok til, at det skal anmeldes, og i så fald hvordan.

Når det er sagt, bør anmeldelse af et brud på persondatasikkerheden ikke være det første, virksomheder tænker på, når de oplever et sikkerhedsbrud, hvilket de uden tvivl vil komme til før eller siden. Når bruddet håndteres, skal fokus være på at bekæmpe mulige angribere, danne sig et overblik over skadens omfang og sørge for, at virksomheden kan vende tilbage til normal drift. At anmelde bruddet til tilsynsmyndigheden er et af elementerne i jeres håndtering af et brud, men det er sandsynligvis ikke det første.

For at sikre en korrekt anmeldelse, bør den forankres dybt i samtlige planer for, hvordan en sikkerhedshændelse skal håndteres. Og der skal udarbejdes en klar procedure for det som ved alle andre hændelser. Blandt andet skal ansvar, roller, processer, tjeklister osv. beskrives.

Forventninger til den fremtidige udvikling

Hvilken betydning har alt det her? Skal man nu til at kryptere og pseudonymisere hver en bid data, man behandler? Skal man omdefinere alle ens hændelseshåndteringsprocedurer og fokusere på anmeldelse af persondatasikkerhedsbrud? Nej, det ville være en forkert måde at reagere på.

Man skal modstå fristelsen til at gøre netop det og fortsat gøre, som man hele tiden har gjort (eller skulle have gjort): Nemlig sørge for at foretage ordentlige risikovurderinger og dernæst fastlægge sine sikkerhedsforanstaltninger på den baggrund. Tag fat på tekniske og organisatoriske sikkerhedsforanstaltninger og navnlig de tre områder forebyggelse, detektering og håndtering. Slutteligt skal foranstaltninger vedr. hændelseshåndtering omfatte procedurer for anmeldelse af datasikkerhedsbrud.

Hvis man allerede driver en effektiv sikkerhedsorganisation, skal man ifølge GDPR blot fortsætte det gode arbejde. Hvis man endnu ikke helt er på det niveau, skal man øge det. Alt sammen med det endelige mål i mente: Hvis man ønsker, at andre mennesker skal betro sig med deres personoplysninger, skal man gøre sig fortjent til den tillid ved at beskytte oplysningerne ordentligt.