Foranstaltning:

Undgå genanvendelse af autorisation uden aktiv stillingtagen


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Fornyelse af autorisationer kan være aktuelt ved fx gentagne midlertidige ansættelser af samme vikar eller eksterne konsulent. Autorisationen gives af den autorisationsansvarlige ifm. en ansættelse. Hvis der sker genbrug af autorisationen ved næste ansættelse, uden at den autorisationsansvarlige tager fornyet stilling til, hvilke adgangsrettigheder der er nødvendige, så kan det resultere i unødvendige rettigheder, som kan misbruges. Der er altså tale om en forebyggende foranstaltning, som kan mindske sandsynligheden for forkerte adgangsrettigheder.

Hvilke tiltag kan overvejes?

Der fastsættes procedurer, der sikrer, at der ved fornyelse af autorisationer foretages en fornyet vurdering af behovet. Derved sikres det, at brugere ikke tildeles unødvendige rettigheder. Beskyttelsen kan ske via procedurer, it-systemer eller blanketter, som anvendes i forbindelse med brugeradministreringen.

Hvornår er foranstaltningen nødvendig?

Databeskyttelsesforordningens artikel 5, stk. 1, litra f, handler om personoplysningers integritet og fortrolighed. Jo færre, der har adgang, desto mere mindskes sandsynligheden for, at nogle af disse brugere via utilsigtede eller ondsindede handlinger kan udgøre en risiko. Jo mindre den enkelte bruger har adgang til, desto mindre er den potentielle konsekvens, hvis nogle af disse brugere gør skade på data via utilsigtede eller ondsindede handlinger. Samtidig har dette også en beskyttende effekt ift. cybertrusler, idet en hacker ofte opererer igennem adgangsrettigheder i kompromitterede brugerkonti, og færre rettigheder giver dermed hackeren færre muligheder. Derfor skal adgangsrettigheder begrænses mest muligt.

Vejledninger, der anvender denne foranstaltning