Trin 6

Husk sikkerheden

Husk sikkerheden

Husk sikkerheden

Hvorfor IT-sikkerhed?

Cyberangreb rammer både små og mellemstore virksomheder. Derfor spiller it-sikkerhed en vigtig rolle, når virksomhedernes systemer og personoplysninger skal beskyttes.

Hvis I ikke har tænkt over it-sikkerhed før, så start med de elektroniske enheder, hvor I håndterer personoplysninger, der kræver særlig beskyttelse - fx helbredsoplysninger, CPR-numre og børneattester. Elektroniske enheder er fx PC, tablets, mobil, USB-stik og ekstern harddisk. Men husk at alle dele af it-miljøet skal være sikret, for at beskytte imod cyberangreb.

Praktiske råd til bedre behandlingssikkerhed

SikkerDigital har samlet 7 gode råd om it-sikkerhed, som kan hjælpe små og mellemstore virksomheder med at styrke deres basale digitale sikkerhed:  

  1. Få overblik over vigtige data og systemer
  2. Opdater programmer, herunder applikationer, løbende
  3. Anskaf antivirus og firewall*
  4. Tag backup af data, og husk at en kopi af data til en ekstern harddisk ikke er en backup, som er sikret imod cyberangreb**
  5. Lær at spotte mistænkelige e-mails
  6. Lav stærke adgangskoder og anvend multifaktorautentifikation på alt, der kan tilgås fra internettet**
  7. Stil sikkerhedskrav til it-leverandører.

*Datatilsynet stiller ikke krav om, at virksomheder køber bestemte it-løsninger for at overholde GDPR, ligesom vi ikke samarbejder med private virksomheder om salg af it-produkter eller kurser. Læs mere om dette her.

**Datatilsynet har også beskrevet emnet med fokus på, hvad backup kan gøre for beskyttelsen af personoplysninger. Læs om backup som sikkerhedsforanstaltning her. Læs også om, hvad man bør overveje, når der etableres multifaktorautentifikation her.

Læs mere om de 7 gode råd her

Har du outsourcet?

Hvis du har outsourcet IT-driften og IT-sikkerheden, er det dit ansvar at stille de rigtige krav til din leverandør. SikkerDigital har udarbejdet en værktøjskasse med vejledning og et spørgeskema, som kan hjælpe dig med at stille de rigtige spørgsmål og krav til din IT-leverandør.

Find værktøjskassen her

Tænk sikkerhed ind i dine arbejdsprocesser

Sikkerhedsforanstaltninger virker bedst, hvis medarbejderne ved, hvordan de i praksis er med til at beskytte personoplysninger. Den viden skal vedligeholdes og tilpasses løbende, så medarbejderne altid ved, hvad de skal gøre for at arbejde på en sikker måde.  

Her finder du en række lavpraktiske råd, der giver god sikkerhed i de daglige arbejdsprocesser – også når man arbejder hjemmefra.

Så risikerer du ikke, at andre uberettiget får adgang til oplysninger om dine kunder, ansatte eller virksomhedens forhold. Det indebærer som minimum, at dit WiFi-udstyr anvender en stæk kryptering og, at adgangskoder til at tilgå og administrere WiFi-udstyrer er selvvalgte, lange og komplekse. Med mindre den er nødvendigt, bør der også være lukket for muligheden for at administrere WiFi-udstyret fra internettet.

Så risikerer du ikke uberettiget adgang til oplysninger om dine kunder eller ansatte via dine elektroniske enheder med personoplysninger.

Når du arbejder på distancen, skal du huske at beskytte dine elektroniske enheder, som hvis du var på arbejdspladsen. Du skal også være opmærksom på dine omgivelser, fx hvis du arbejder i toget eller i bussen, hvor andre personer potentielt kan følge med på din skærm eller lytte til din samtale. Mange elektroniske enheder kan meget nemt sættes op til at kryptere lagringsmediet (harddisk/solid state drive), så data lagret lokalt også er beskyttet, hvis enheden stjæles.

Inden du bortskaffer dine elektroniske enheder fx mobil, tv, pc og tablet, skal du sikre dig, at enhederne ikke indeholder personoplysninger.  Nogle enheder indeholder en funktion, der sletter alle data, men ellers skal I selv sørge for at det sker, eller give udstyret til en leverandør, der sørger for sletning inden udstyret genanvendes. Supplerende kan du sikre dig, at oplysningerne på ingen måde kan tilgås af andre, f.eks. ved kryptering. 

 

Læs om bortskaffelse af elektroniske udstyr her

Brud på persondatasikkerheden kan opstå, når fysiske dokumenter eller elektroniske udstyr med personoplysninger efterlades uden opsyn på steder, hvor uvedkommende har adgang. Det kan typisk være på hotellet, i bilen eller i toget. Sørg for altid for at opbevare dine dokumenter og enheder et sikkert sted, når de ikke er i brug.

Du skal altid have styr på, hvem der har adgang til hvilke systemer og bygninger, samt hvorfor de har adgang. Du kan ikke lade enhver have adgang til dine systemer og bygninger, da sikkerheden forringes og risikoen for brud på persondatasikkerheden øges. Du skal derfor begrænse adgangen, så det kun er personer med et arbejdsbetinget behov, der har adgang.  Når en medarbejder stopper, skal du straks sørge for, at den pågældende ikke længere har adgang til systemer og bygninger.

Du kan læse mere i Datatilsynets vejledning om rettighedsstyring.

Du kan begrænse dit ansvar og din risiko ved ikke at opbevare flere personoplysninger end nødvendigt og ved ikke at opbevare dem længere end nødvendigt. Jo færre oplysninger du har, jo mindre risiko hvis data tilgås af uvedkommende, f.eks. i forbindelse med et cyberangreb.

Læs om hvornår du må opbevare personoplysninger i trin 2

Du skal være særligt opmærksom på, hvordan du sender/modtager personoplysninger, der kræver særlig beskyttelse, som f.eks. helbredsoplysninger, CPR-numre og straffeattester.

Når du vælger at sende/modtage personoplysninger, er det vigtigste, at du vælger en sikker måde at kommunikere på, så personoplysninger ikke ender i de forkerte hænder.

Du kan som regel godt kommunikere sikkert via e-mail.

Du kan læse om, hvordan du sender sikkert her.

Digital Post som f.eks. e-boks er også en sikker måde at kommunikere på. Forsendelse af fysisk brev eller pakke med posten betragtes ligeledes som en sikker kommunikation.

Husk, at hvis du sender elektroniske enheder, f.eks. USB-stik, PC eller ekstern harddisk, som indeholder fortrolige eller følsomme personoplysninger, skal data på enhederne være krypteret på en sådan måde, at uvedkommende, der får fat på enheden, ikke kan prøve sig frem til adgangskoden og derved opnå at dekryptere data.

Se Datatilsynets video om kryptering her

Datatilsynet har samlet 10 ofte sete brud på persondatasikkerheden. Find dem her.

Eksempler

Gå direkte til eksemplerne.

Stadig i tvivl?

Skriv eller ring til os. 

dt@datatilsynet.dk

33 19 32 00

Eksempler

Her kan du se eksempler på, hvilke personoplysninger forskellige typer af virksomheder almindeligevis håndterer. 

Sørg for at beskytte dine elektroniske enheder

Beskyt dine elektroniske enheder, f.eks. PC, tablet og mobil, ved at sørge for følgende:

  • Sørg for at dine elektroniske enheder bliver opbevaret på en sådan måde, at uvedkommende ikke kan få fat i dem, f.eks. ved at gemme enhederne væk, når du ikke bruger dem. Du kan med fordel gemme dem i et aflåst skab.
  • Sørg for at dine elektroniske enheder er beskyttet med både stærke adgangskoder og kryptering, så uvedkommende, der skulle få fat i enhederne, ikke kan få adgang til data på enhederne.
  • Sørg for løbende at foretage backup af oplysningerne på enhederne, så du kan genskabe oplysninger, hvis du skulle miste adgangen til dem.

Sørg for at din webshop er sikker

Når kunder besøger din webshop, afgiver de ofte oplysninger som navn, adresse og kontaktoplysninger. I nogle tilfælde indtastes også betalingsoplysninger, men disse håndteres som regel af en ekstern og sikker betalingstjeneste.

Det er derfor vigtigt, at webshoppen er beskyttet mod misbrug og uautoriserede ændringer. Hvis webshoppen bliver kompromitteret, kan det føre til, at uvedkommende får adgang til kundernes oplysninger, at priser ændres, eller at kunder bliver ledt videre til falske sider.

Virksomheden bør derfor løbende teste og vedligeholde sikkerheden på webshoppen og sikre, at systemet holdes opdateret. Det kan for eksempel ske ved at benytte anerkendte sikkerhedsstandarder og lade en professionel part udføre sårbarhedstest.

Der findes gode og opdaterede vejledninger om it-sikkerhed for webshops hos blandt andre e-mærket, OWASP og ENISA.

For at undgå misbrug og tekniske sårbarheder kan du bl.a. sikre din webshop ved at have:

En sikker forbindelse: Din webshop har en sikker forbindelse, hvis den understøtter https, og du sikrer dig, at webshoppen anvender en af de nyeste sikre krypteringsstandarder. Du kan teste forbindelsen til din webshop for sårbarheder, herunder kryptering, på www.sikkerpånettet.dk.

Sådan gør du:

  • Brug testen ’Test dit domæne’ og kig efter resultatet angående ’sikker forbindelse (https)’.
  • Bemærk at testen også kan give testresultater, som angår andet en kryptering.

Opdateringer: Sørg for at al software, der anvendes til at holde webshoppen kørende (operativsystem, websiden, mv.), holdes opdateret. Hvis du ikke opdaterer, er det nemmere at foretage cyber-angreb på webshoppen.

Backup: Sørg for at foretage backup (sikkerhedskopi) af personoplysninger, så du kan genskabe oplysningerne, hvis det bliver nødvendigt.  

Sørg for at dine ansatte kender til GDPR

Det er en god idé at udnævne en person til at sikre, at dine ansatte har kendskab til de mest relevante tips og tricks til at beskytte virksomhedens personoplysninger. Den ansatte kan f.eks. hjælpe med at spotte falske e-mails, og derved kan I undgå situationer, hvor virksomheden ellers ville blive snydt, f.eks. i forbindelse med phishingmails.

En form for bedrageri går ud på, at en medarbejder bliver narret til at overføre virksomhedens penge til en konto, der ikke tilhører virksomheden. Det kan føre til store økonomiske tab. For at forebygge dette bør virksomheden have faste og kendte procedurer for pengeoverførsler, som alle med adgang til virksomhedens midler skal følge.

Er uheldet ude og en ansat trykker på et mistænkeligt link, så sørg for at have en plan for, hvordan situationen håndteres, herunder evt. hvem du skal kontakte for hjælp.

Tilbage til forrige trin

Gå til trin 5

Tilbage til start?

Gå til hovedmenu

Klar til næste trin?

Gå til trin 7