Foranstaltning:

Funktionsadskillelse


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Opgaver udført med én adgangsrettighed kan gøre personen inhabil ift. opgaver, som kan udføres med en anden adgangsrettighed. Derfor kendes funktionsadskillelse fra økonomisystemer, hvor det sikrer imod, at én medarbejder alene kan berigtige og godkende en faktura for eget indkøb.

På samme måde må samme person ikke kunne bestille og autorisere egen adgang til et it-system. Dette undgås ved at etablere funktionsadskillelse i opgaver og/eller adgangsrettigheder. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for forskellige typer misbrug af adgangsrettigheder.

Funktionsadskillelse er dermed en foranstaltning, der understøtter indbyrdes kontrol mellem forskellige arbejdsfunktioner, og som dermed forebygger misbrug.

Hvilke tiltag kan overvejes?

Der etableres procedurer – om muligt teknisk – hvorved der sikres funktionsadskillelse mellem brugere (dem, som anvender adgange), de autorisationsansvarlige (dem, som godkender adgange) og brugeradministratorer (dem, som opretter/nedlægger adgange). Der kan også være et fjerde led, hvis fx en it-driftsmedarbejder i praksis opretter/nedlægger adgange på vegne af brugeradministratoren.

Funktionsadskillelse gennemføres ved en skarp adskillelse i arbejdsopgaver og adgangsrettigheder, hvor ovennævnte personers opgaver/adgange så vidt muligt ikke overlapper. Fx må en brugeradministrator ikke godkende sin egen adgang til et it-system, og hvis det ikke kan forhindres teknisk, skal der være en godkendelsesprocedure, som sikrer valid dokumentation for den autorisationsansvarliges godkendelse. Ved manuelle blanketbaserede procedurer kan det være nødvendigt at udforme autorisationsblanketten, så der ikke kan rettes i den, efter den autorisationsansvarlige har godkendt adgangen.

Der fastsættes regler imod eller etableres en teknisk forhindring af, at en autorisationsansvarlig kan godkende ændringer i sin egen adgang.

Hvis muligheden er til stede i it-systemet, begrænses brugeradministrators adgangsrettigheder til kun at give mulighed for rettighedsstyring i it-systemet. Således kan brugeradministratoren ikke selv tilgå data i det it-system, hvor han/hun styrer andres adgange til data.

Ved tildeling af nye adgange ifm. nyansættelse eller omrokering i organisationen fastsættes procedurer eller beskrivelser, som sikrer, at der ikke kan opstå en situation, hvor en medarbejder får adgange på tværs af den ønskede funktionsadskillelse. Det kan evt. sikres gennem den formular, som anvendes ved tildeling af adgangsrettigheder.

Det sikres, at adgange, som kun har et it-driftsmæssigt formål, udelukkende gives til it-driftspersonale med rette uddannelse, og hvis muligt også tidsbegrænset.

Funktionsadskillelse er ikke kun relevant mellem mennesker, men også mellem robotter. Hvis der anvendes RPA (Robotic Process Automation) eller lignende, og man i den forbindelse giver adgangsrettigheder til robot-brugere, kan det fremstå som om manglende funktionsadskillelse ikke indebærer samme risici, som hvis samme rettigheder var samlet hos én fysisk person. Økonomisk besparelse på robot-brugerlicenser kan friste til at give en robot så mange adgangsrettigheder som muligt, men det kan udgøre en højere risiko, hvis fx en hacker eller softwareudvikler får mulighed for at misbruge denne robots rettigheder.

Hvornår er foranstaltningen nødvendig?

Databeskyttelsesforordningens artikel 5, stk. 1, litra f, handler om personoplysningers integritet og fortrolighed, og det er normalt ikke sikret godt nok, uden en vis grad af funktionsadskillelse. Den dataansvarliges risikovurdering efter forordningens artikel 32 kan dog indikere, at funktionsadskillelse ikke er nødvendig ift. konkrete behandlinger af personoplysninger.

Muligheden for at implementere denne foranstaltning kan endvidere begrænses af organisationens størrelse, og dermed kan der ikke forventes funktionsadskillelse i fx en tomandsvirksomhed.

Vejledninger, der anvender denne foranstaltning