Foranstaltning:

Dokumentation af autorisationer


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Brugeradministratorer har mulighed for at give andre – og normalt også sig selv – adgang til it-systemer. Brugeradministratoren har teknisk mulighed for at oprette adgange uden at følge fastsatte procedurer eller bemyndigelser, fx for at smidiggøre sagsgange eller i værste fald for at skabe grundlag for misbrug. Krav om dokumentation for fornøden autorisering er en modvægt til dette. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at en brugeradministrator begår fejl eller misbruger sine adgangsrettigheder.

Hvilke tiltag kan overvejes?

Procedurer og/eller teknik indrettes således, at brugeradministratorer tvinges til at dokumentere, at de ikke har handlet på egen hånd ifm. udstedelse af adgangsrettigheder til andre eller sig selv.

Der fastsættes (skriftlige) krav om, at autorisationer (autorisationsansvarliges godkendelser af adgangsrettigheder) dokumenteres af brugeradministrator. Dette beskytter imod, at en brugeradministrator presses til at udstede adgangsrettigheder uden dokumenteret autorisation – den slags pres kunne fx komme fra en leder, som har mere fokus på smidiggørelse af arbejdsgange end på sikkerhed. Brugeradministratoren opbevarer dokumentationen for at kunne vise, at rette procedurer er fulgt ved tildeling af adgangsrettigheder.

Så vidt muligt laves en teknisk forhindring af, at brugeradministratoren kan ændre på autorisationen, når først den er afgivet og dokumenteret. Dette beskytter imod snyd fra brugeradministrators side.

Der suppleres med ad hoc-kontroller af, om dokumentationen passer med etablerede adgangsrettigheder. Det kan evt. ske som en del af foranstaltningen Periodisk kontrol af adgangsrettigheders aktualitet.

Hvornår er foranstaltningen nødvendig?

Databeskyttelsesforordningens artikel 5, stk. 1, litra f, siger bl.a., at personoplysninger skal behandles på en måde, der sikrer beskyttelse mod uautoriseret eller ulovlig behandling. Når autorisationer ikke er dokumenteret, kan det mindske ansvarsfølelsen hos både brugeradministrator og autorisationsansvarlig. Dermed kan det at få dagligdagen til at fungere blive prioriteret højere end at udføre rettighedsstyring korrekt.

Det er primært en risikovurdering efter forordningens artikel 32, som skal vise, hvilke tiltag der er relevante, men henset til det menneskelige aspekt vil dokumentation af autorisationer meget ofte være relevant.

Vejledninger, der anvender denne foranstaltning