Foranstaltning:

Tilpasning af adgangsrettigheder ved ændring af ansættelsesforholdet


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Når der sker ændringer i ansættelsesforhold, skal der ske mange ændringer, og visse af disse angår direkte eller indirekte medarbejderens adgange til personoplysninger. Når adgange til it-systemer ikke længere er nødvendige, skal de lukkes, men det kan blive glemt, og det kan give brugeren adgang i længere tid end nødvendigt. Flere adgange giver en større "angrebsflade" for ondsindede aktører – de har så at sige flere legoklodser til at opbygge deres angreb med. Adgange, som ikke længere er nødvendige, udgør dermed en unødvendig risiko. Særligt ved fritstilling af medarbejdere kan der være en fare for misbrug af adgange, hvis disse ikke lukkes straks. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for, at der i it-systemet eksisterer unødvendige adgangsrettigheder, som misbruges.

En bruger-konto, der ikke længere anvendes af den retmæssige bruger, kaldes også for "ghost account". Selv om den retmæssige bruger forhindres i at anvende kontoen, fx ved spærring af kontoen i Active Directory, så vil adgangen måske stadig kunne misbruges. Ved at nedlægge sådanne bruger-konti reduceres angrebsfladen, idet hackere forhindres i at misbruge en "ghost account" til at tilegne sig adgangsrettigheder. Misbrug af "ghost accounts" kan muligvis også foregå i længere tid, uden at det opdages, end ved misbrug af de konti, som stadig anvendes af den retmæssige bruger.

Hvilke tiltag kan overvejes?

Procedurer eller teknik opsættes således, at organisationen påtvinges en reaktion, når der sker ændringer i ansættelsesmæssige forhold, så som ansættelse, ændrede arbejdsopgaver, orlov, fratrædelse, fritstilling, langtidssygdom og død. Ændringer i ansættelsesforhold kan udløse en notifikation, fx via et HR-system. Alternativt kan der etableres en fast procedure, som indebærer, at unødvendige adgangsrettigheder nedlægges. Processen skal sikre samme høje fokus på nedlæggelse af eksisterende rettigheder som på oprettelse af nye.

Det sikres, at rette medarbejder får information om ændringen for at undgå situationer, hvor adgange forbliver åbne efter medarbejderfratrædelse.

Nogle ændringer i ansættelsesforhold kræver, at der på forhånd er sat et tidspunkt for, hvornår der skal "hejses et flag", og en særlig proces skal startes – det gælder fx, hvis en sikkerhedsgodkendelse automatisk udløber efter x år med deraf følgende manglende godkendelse til at tilgå visse særligt klassificerede data.

Orlov, barsel, sygemelding mv. er situationer, hvor der formentlig skal lukkes adgange, men idet der også er behov for at fastholde medarbejdere, sker lukning på en anden måde end ved fratrædelser. Eksempelvis kan medarbejderes adgang til intranet bibeholdes, fordi der her deles information om sociale aktiviteter og information om udviklingen af arbejdspladsen. På den måde kan den fraværende medarbejder stadig føle sig som en del af arbejdspladsen. Samtidig bliver medarbejderes adgange til fagsystemer lukket eller midlertidigt deaktiveret.

Ved intern rokering kan arbejdsopgaver ændres gradvist. I denne situation sikres procedure eller automatik, som bevirker, at adgange lukkes, når de ikke længere er nødvendige.

Endeligt etableres der en særlig procedure for de perifere/eksterne systemer, som ikke kan lukkes gennem en centraliseret brugeradministrationsenhed.

Overvej følgende, når adgangsrettigheder skal fjernes eller ændres:

  • Medarbejderen skal evt. selv lukke adgange i eksterne it-systemer, som det ellers vil være sværere for andre at lukke efter fratrædelse eller overgang til anden stilling.
  • Medarbejdere med administrative rettigheder skal evt. selv overdrage disse til en anden medarbejder.
  • Sletning af data på pc/smartphone inden aflevering og evt. nulstilling eller udlevering af kode, så udstyr kan genanvendes.
  • Oprydning på e-mailkonto, netværksdrev og især på steder, hvor kun denne medarbejder havde adgang, eller oprydning i private data, så kontoens indhold kan gøres tilgængelig for andre efter fratrædelsen.
  • Lukning af adgange til it-systemer, funktionspostkasser og eksterne it-systemer.
  • Inddragelse af id-kort, nøglebrik, nøgler til døre/postkasser/racks/..., adgangsgivende tokens, pc, smartphone, USB-nøgler, harddiske, fysiske dokumenter, mv.
  • Ændring af koder, som er delt mellem flere brugere (flerbrugerkonti).
  • Spærring af adgange via nøglebrikker, adgangskort fysiske adgangs-/alarmpaneler, sikringsskabe/pengeskabe.
  • Udskiftning/omkodning af låsecylindre (hvis ikke nøgle er kopibeskyttet).
  • Spærring af fjernadgang til it-systemer.
  • Spærring af adgange med certifikater og evt. certifikaterne selv (MitID Erhverv, certifikater knyttet til hardware, ...).
  • Ophævelse af telefonabonnement og internetabonnement gennem virksomheden. Hvis medarbejderen får lov til at beholde telefonen, er der særlig opmærksomhed på, at der ikke er virksomhedsdata på telefonen, og at synkronisering af data (typisk kalenderaftaler og e-mails) er standset.
  • Sletning af data om medarbejder, der ikke længere er nødvendige, fx foto anvendt til id-kort eller telefonbogsoplysninger på intranettet.
  • Interne kontaktlister opdateres, og eksterne samarbejdspartnere informeres om ændring i kontaktpunkter (kunder, vagtselskab, håndværkere, ...), især hvis medarbejder fortsat kan anvende telefonnummer efter fratrædelse.
  • Revision af beredskabsorganisation, systemejerskab, mv. hvis medarbejderen var omfattet af dette.
  • Undersøgelse af, om der opstår uhensigtsmæssig afhængighed af enkeltpersoner, når adgangsrettigheder fjernes eller ændres.

Hvornår er foranstaltningen nødvendig?

Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at der skal sikres tilstrækkelig sikkerhed ved behandling af personoplysninger, herunder beskyttelse imod uautoriseret og ulovlig behandling. Lukning af adgange mindsker muligheden for uautoriseret og ulovlig behandling, hvilket kan være særligt vigtigt i situationer, hvor en medarbejder afskediges. I helt særlige situationer vil en risikovurdering kunne vise, at foranstaltningen ikke er nødvendig, hvis adgange fx kun er til offentligt tilgængelige personoplysninger, og misbrug i form af ændring/sletning af disse oplysninger ikke kan skade de registrerede.

Praksis

Vejledninger, der anvender denne foranstaltning