IT-sikkerhed
Så blev der udskrevet valg, og de enkelte partier vil nu på forskellig vis forsøge at påvirke os alle.
Valgplakater vil desværre komme til at fylde på gader og veje, og indsamling af data for at kunne påvirke vælgerne, vil også ske i store mængder.
Læs videre “Valg og GDPR.”
IT-sikkerhed og GDPR skal gå hånd-i-hånd. Mange tror at GDPR handler om regler og juristeri, men sager henover sommeren viser, at Datatilsynet udsteder bøder, når manglende sikkerhedsforanstaltninger ikke er implementeret.
F.eks. 2-faktor login til systemer der kan tilgås remote.
2-faktor er, hvor du udover brugernavn og password skal have en unik ekstra kode. Den bliver oftest sendt til din mobil som SMS eller via en mobil app, hvor man godkender login.
NemID og MitID er begge løsninger, der er baseret på 2-faktor.
2-faktor er vigtigt, fordi det tilfører et ekstra lag sikkerhed. Mange -ja faktisk rigtig mange genbruger passwords på flere hjemmesider. I nogle tilfælde anvender en bruger samme password til privat og firma. Så når en angriber har dit bruger navn (mail) og password, vil vedkommende kunne logge ind på såvel firma som private services.
Hvis 2-faktor er aktiveret, så skal man jo også have den ekstra kode for at kunne logge ind.
Jeg opfordrer kraftigt til, at man altid kun bruger password ET sted, og altid tilføjer 2-faktor. Men her og nu bør 2-faktor som minimum være aktiveret.
Et advokat firma blev udsat for et hackerangreb, der betød, at særligt beskyttelsesværdige personoplysninger blev kompromittereret. Da de var igang med at implementere 2-faktor login og var samarbejdsvillige omkring sagen, indstillede datatilsynet bøden til kun 500.000 kr.
Når man opretter fjernadgange til sådanne it-systemer, skal man således have implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin.
I en kommune havde man ikke sikret sig, at ansatte ikke kunne slå sin pinkode fra ved login på mobil.
Da der på mobilen kunne være følsomme oplysninger, blev kommunen indstillet til en bøde på 50.000 kr.
Mobile Device Management (MDM) installeres på mobile enheder, hvorefter man kan adminstrere indstillinger, herunder sikkerheds indstillinger centralt. Der findes mange forskellige MDM systemer. Microsoft Intune er et af dem.
Du må ikke overføre personhenførbare data til 3. lande. Så hvis du anvender cloud services som er amerikansk ejede, har du en udfordring, da der ikke på nuværende tidspunkt er en nem løsning i henhold til USA og GDPR.
Vi har siden juni 2021 ventet på at EU og USA skal blive enige om en løsning, der gør at data igen kan overføres. Så alle venter på denne løsning.
Datatilsynet venter dog ikke på dette, men vil sikre sig at din virksomhed lever op til de gældende regler, og ikke dem der forventes at komme en dag.
Du skal sikre dig, at reglerne følges ved dataoverførsel til 3. lande.
Det bedste eksempel lige nu, er vel sagen omkring Helsingør kommunes brug af Google undervisnings platform. I midten af juli fik de forbud mod at bruge platformen, og besluttede så søndag aften på et byrådsmøde, at eleverne ikke må anvende Chromebooks. Datatilsynet har også oplyst, at de kigger på 20 andre kommuner i relation til deres brug af Google platform i skolen.
Så hvad ville det betyde for din forretning, hvis du fik et tilsvarende forbud mod at anvende en Cloud Service?
Mit bedste råd:
Man siger at IT-sikkerhed er “på alles læber”. Også hos bestyrelsen, hvilket jo burde være en god udvikling.
Men er det baseret på facts eller skræmme kampagner?
Læs videre “Hvordan prioriterer du IT-sikkerhed?”
EU-Domstolen fastslog d. 16 juli 2020 i Schrems II-sagen, at EU-Kommissionens standardkontrakter SCC fortsat er gyldige. Men kun hvis der træffes supplerende foranstaltninger i usikre tredjelande, som f.eks. USA.
Udfordringen er, at ingen kan fortælle os, hvad de “supplerende foranstaltninger” præcis skal være.
Læs videre “7 Gode råd omkring overførsel til 3. lande.”
Et spørgsmål som alle der arbejder med GDPR, skal forholde sig til!
Det afhænger ikke kun af din bedømmelse og argumentation. Det handler også om lovgivninger, som bogføringsloven der siger 5 år, og journaliseringsloven der ofte er 10 år.
Men for de fleste handler det først om at definere, hvor længe har jeg ret (hjemmel) til at beholde de personrelaterede data. Det handler ikke om, hvor længe jeg syntes det kunne være en god ide.
Ja jeg syntes også, at det førhen var fint når jeg søgte efter en mail, at jeg faktisk kunne gå 10 år eller mere tilbage. Det var ikke altid, at det var noget præcist jeg søgte efter, -noget der skete for 10 år siden. Men det var lidt ligesom at kigge på gamle billeder.
Det går ikke mere. Du skal beskrive hvorfor du vælger den sletteregel du nu vælger.
Firmaet modtager en mail fra en ny kunde i deres info@firma.dk, hvor kunden beder om mere info og pris på en vare/ydelse. Mailen bliver besvaret med relevante oplysninger. Kunden vender aldrig tilbage. Hvor længe kan du med god grund beholde denne mail?
Hvis du sælger varer/ydelser med kort beslutnings tid, ja så kan du ikke beholde den ret længe. Måske 3-6 måneder. Hvorimod hvis kunders beslutnings tid ofte er 6-12-18 måneder før køb, så vil jeg vurdere, at 1-2 år vil være OK at opbevare denne mail. Det vigtigste er at du vurderer realistisk, og beskriver din vurdering så detaljeret som muligt.
Hvis kunden derimod køber, så har du nu en aktiv relation, som betyder, at du kan have en slettefrist der siger, at du ikke sletter aktive kunders data.
Tingene bliver ofte mere komplicerede, når man også internt i virksomheden sender kunde mails rundt. Den modtagne mail til info@firma.dk modtages og videresendes så til en sælger. Sælger skal lige have nogle tekniske ting på plads, så han videresender den til teknisk afdeling, som besvarer den med priser.
Nu ligger den mail i 3 mailbokse, info@firma.dk, sælger@firma.dk, teknik@firma.dk. Og køber han ikke, skal den slettes i alle 3 mailbokse. Køber han, kan man opbevare den indtil han ikke længere er kunde, og så skal den stadig slettes i alle mailbokse.
Husk også at slette skraldespanden. De fleste mail klienter lægger blot slettede mails i en “skraldespand”, der først slettes helt, når du aktivt beder den om det.
Nogle mail klienter tilbyder at tømme skraldespanden, når brugeren lukker sin mail klient. “Skal skraldespanden tømmes nu? DU KAN IKKE FORTRYDE DETTE! … øh jeg tror jeg venter, kan ikke lige overskue det i dag … så du udskyder… måske for evigt.
Hvis du bruger mobilnummer som KundeID, risikerer du, at du IKKE kan overholde slettefristen, da man kan identificere en person via mobilnummer. En måde at slette kunder på, er ved at anonymisere data, så du stadig kan trække en statistik på salget 6 år tilbage. Men der vil være kunder du ikke kan identificere mere, fordi de er stoppet og din slettefrist betød, at de skulle anonymiseres.
Men hvis din database “eksploderer” hvis ikke den har de gamle kunde ID’er, ja så er du på den, hvis kunde id’et var et mobil nummer. Du kan sagtens bruge mobilnummer til at søge efter kunden, da kunden kan huske det selv, men lad være med at gøre det til “nøglen i databasen”.
Bøde!! Ilva overholdt ikke deres slettefrist, og Datatilsynet indstillede dem til en bøde på 1.5 million kroner i juni 2019. Tilsyn med IDdesigns behandling af personoplysninger. Den kom så for domstolen februar 2021, Stor møbelkæde dømt for overtrædelse af GDPR-reglerne , hvor bøden blev fastsat til 100.000 kr. ,mendommen ankes af anklagemyndigheden.
Nyhederne har skrevet om Skatteguiden, og 45.401 personer, har i følge skatteguidens hjemmeside, givet Skatteguiden adgang til meget følsomme oplysninger.
“Tidlig årsopgørelse! For første gang nogensinde, kan du få et smugkig på din årsopgørelse 2 uger før tid. Vores algoritme kan på et splitsekund analysere din data og allerede nu estimere din skat for 2020. Download appen, autoriser Skatteguiden på skat.dk og få resultatet.
Glemte fradrag? Der er mange forskellige fradrag, og det kan være svært at vide hvilke du er berettiget til – og hvordan du får dem udbetalt. Skatteguiden gør det nemt at tjekke dine fradrag, og sørge for at du modtager fradrags-udbetalinger fra Skat direkte på din Nemkonto. Tjek dine fradrag for 2017, 2018 og 2019. “
Ja! Vi er pt et gratis bindeled til skat.dk. Og det er uanset om du finder et glemt fradrag eller ej.
Er nogen virkelig så forhippet på at få disse data, 14 dage før SKAT oplyser dem på deres hjemmeside, at man vil give et privat firma, Skatteguiden ApS, adgang til alle disse private følsomme data, som de gemmer på deres server jvf deres privatlivspolitik??
Mit bedste råd er, træk dit samtykke tilbage, og bed dem bekræfte at ALLE DINE DATA ER SLETTET NU.
Datatilsynet har oplyst hvilke områder de vil fokusere på i 2021.
Nogle af områderne henvender sig til specifikke brancher, typer af virksomheder og myndigheder. Men der hvor jeg kan se, at det stort set rammer alle er på:
I februar 2020 skrev jeg en artikel om Datatilsynet har nye retningslinjer for behandling af oplysninger herunder kravene dertil.
Læs videre “Dansk Golf Union påtale & alvorlig kritik fra Datatilsynet.”
Virksomheder kan have forskellige grunde til, at de gerne vil optage indkomne telefonsamtaler. Grundlæggende ser jeg to overordnede formål:
Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.
EU-Domstolen har for nylig truffet en afgørelse om overførsel af personoplysninger til lande uden for EØS. I dommen når EU-Domstolen bl.a. frem til, at Privacy Shield-afgørelsen, som har stor betydning for overførsler til USA, er ugyldig. Det har skabt megen usikkerhed.
Den 10. november 2020 har Det Europæiske Databeskyttelsesråd vedtaget to dokumenter, som er helt grundlæggende, når vi skal overføre personoplysninger til lande uden for EØS. Det drejer sig om:
Som tredjelandene, herunder USA anbefales at opfylde, er beskrevet her, men vi har endnu ikke Kommissionens ord for, om USA har en lovgivning, der opfylder disse 4 garantier, så det er op til os selv at vurdere, dels om vi vil følge anbefalingerne, og dels om vi anser anbefalingerne for overholdt i lovgivningen i tredjelandet, f.eks. i USA.
Der skal være f.eks. en overvågningslovgivning i tredjelandet, f.eks. i USA, der skal beskrive de konkrete formål med lovgivningen. Overvågning kan kun ske med den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov. Loven skal beskrive rækkevidden og anvendelsen af den pågældende overvågning/foranstaltning. Lovgivningen skal indeholde minimumsgarantier, en definition af de kategorier af mennesker, der kan være underlagt overvågning, en begrænsning af overvågningens/foranstaltningens varighed, den procedure, der skal følges for undersøgelse, brug og opbevaring af de opnåede data og de forholdsregler, der skal træffes, når de videregiver dataene til andre parter.
Overvågningen skal være forudsigelig med hensyn til dens virkning for den enkelte for at give ham / hende tilstrækkelig og effektiv beskyttelse mod vilkårlig indblanding og risikoen for misbrug, dvs. loven i tredjelandet/USA skal være tilstrækkelig klar til at give borgerne en tilstrækkelig indikation af, under hvilke omstændigheder og på hvilke betingelser offentlige myndigheder har beføjelse til at anvende sådanne foranstaltninger.
Rettighederne til privatlivets fred og databeskyttelse kan kun begrænses, hvis det er nødvendigt og virkelig opfylder mål af almen interesse anerkendt af Unionen eller behovet for beskytte andres rettigheder og friheder. Der skal foretages en afvejning af alvoren i at begrænse rettighederne til privatlivets fred og databeskyttelse over for behovet for det offentliges interesse i f.eks. overvågningen f.eks. pga. en alvorlig trussel mod den nationale sikkerhed.
Lovgivning i et tredjeland, der ikke angiver nogen begrænsninger i den beføjelse, den tillægger at gennemføre overvågningsprogrammer med henblik på udenlandsk efterretningstjeneste, kan ikke sikre et beskyttelsesniveau, der i det væsentlige svarer til kravene i proportionalitetsprincippet.
Lovgivninger “som generelt bemyndiger lagring af alle personoplysninger om alle de personer, hvis data er overført fra Den Europæiske Union (…) uden nogen differentiering , begrænsning eller undtagelse foretages i lyset af det forfulgte mål og uden, at der er fastlagt et objektivt kriterium, hvormed man kan bestemme grænserne for de offentlige myndigheders adgang til dataene og efterfølgende anvendelse til formål, der er specifikke, strengt begrænset og i stand til at retfærdiggøre den indblanding, som både adgang til dataene og deres anvendelse medfører ”, er ikke i overensstemmelse med dette princip
C. Der bør eksistere en uafhængig tilsynsmekanisme a la det danske datatilsyn
Enhver indblanding i retten til privatliv og databeskyttelse skal være underlagt et effektivt, uafhængigt og upartisk tilsynssystem, der skal sørges for enten af en dommer eller af et andet uafhængigt organ (f.eks. en administrativ myndighed som et Datatilsyn eller et parlamentarisk organ).
Der skal også tages hensyn til den faktiske drift af aflytningssystemet, herunder kontrol og balance mellem magtudøvelse og eksistens eller fravær af faktisk misbrug, og et tilsyn der dækker alle de enkelte overvågningsforanstaltninger.
I tilfælde af berettiget hastværk kan overvågningen/ foranstaltningerne finde sted uden en forudgående gennemgang af tilsynsmyndigheden. Der kræves dog stadig, at den efterfølgende revision finder sted inden for kort tid.
Den endelige europæiske væsentlige garanti er knyttet til personens klageadgang. Der skal være et effektivt middel til at gennemføre personens rettigheder, når personen mener, at de ikke er blevet respekteret.
F.eks. ved indsamling af trafik- og lokaliseringsdata i realtid, er meddelelse til de registrerede personer nødvendig for at gøre det muligt for dem at udøve deres rettigheder, men det er på den anden sige også ok, at underretning kun sker i det omfang, og på det tidspunkt, hvor underretning ikke længere bringer de opgaver, som disse myndigheder er ansvarlige for, i fare.
En domstol eller et andet upartisk organ tilbyder tilstrækkelige klagemuligheder, hvis den opfylder en række kriterier for at være et uafhængigt og upartisk organ, og som ikke kræver en bevismæssig byrde, der skal overvindes for at indgive en klage til den.
Domstolens eller organets uafhængighed skal sikres, især fra den udøvende magt, med alle nødvendige garantier, herunder med hensyn til dets betingelser for afskedigelse eller tilbagekaldelse af udnævnelsen,
Vurderingen af tredjelandsovervågningsforanstaltningerne kan føre til to konklusioner:
Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.
Læs videre “Nyt om Privacy Shield-afgørelsen”
I november 2019 skrev jeg artiklen Reglerne omkring sikker mail er skærpet af Datatilsynet, der beskriver de forskellige måder, til at sende mails på en sikker måde. Der beskrives også, hvordan du som afsender skal kunne dokumentere, at du sendte mail’en på en sikker måde.
Dette er faktisk en udfordring, da mail systemer som Office 365 og Google Workspace kun tilbyder såkaldt opportunistisk TLS, hvor man indstiller sine mailservere til at sende TLS, hvis det er muligt. Hvis modtagerens server (eller en af de servere mailen passerer undervejs) IKKE understøtter TLS, sendes e-mailen alligevel – ukrypteret.
Så konklusionen er stadig, at afsendelse af mails med personfølsomme oplysninger kræver et “tillæg” til den normale løsning. Dette sikrer, at hvis ikke modtagerens posthus kan kommunikere sikkert (TLS), sendes mail’en ikke. Den fremsendes så på en anden sikker måde, som du kan læse mere om her.
Der har dog været usikkerhed om, hvordan man er stillet, når man modtager uopfordrede personfølsomme mails.
Nej, det må du ikke, er det korte svar. Hvis du beder om, at der sendes fortrolige oplysninger, skal du tilbyde en løsning, der sikrer at kommunikationen mellem posthusene er sikret på samme måde som beskrevet i denne artikel.
Det er kundens valg. Datatilsynet skriver
Som myndighed eller virksomhed er man derimod ikke ansvarlig for forsendelsesmåden, hvis borgeren uopfordret sender oplysninger af fortrolig eller følsom karakter via en ukrypteret forbindelse, eller hvis borgeren – til trods for en opfordring til at sende oplysningerne krypteret – alligevel anvender en usikker forsendelsesmåde.
Kilde: Datatilsynet
Så det nye er, at Datatilsynet nu bekræfter, at det er kundens valg, om han vil sende fortrolige oplysninger, uden at transmissionen er krypteret.
Som afsender af mails, anses du for at være dataansvarlig, fra du afsender mailen til den modtages på kundens mailserver. Hvis kunden har valgt at oprette en mail på en usikker server, er det ikke dit ansvar.
Du skal dog huske, at som dataansvarlig er det altid dit ansvar, hvad der sker på din ”mailserver” Hvad enten du selv driver den internt eller har en mail udbyder som for eksempel Microsoft O365 eller Google Workspace.
Den “personlige” virksomhed, har ofte billeder af sine ansatte på hjemmesiden. Jeg syntes faktisk det er god service, at jeg kan finde oplysninger om en ansat, hvis jeg lige har haft kontakt til virksomheden. Ofte kan man finde folk på Linkedin, men jeg syntes det giver virksomheden en mere personlig profil, hvis de ansattes billeder er på hjemmesiden. Det er jo mennesker, der handler med mennesker.
At du skal have samtykke af den ansatte, før du må sætte billedet på hjemmesiden. Samtykker kan tilbagekaldes, så du dermed skal slette billederne på hjemmesiden.
DMR A/S (Dansk Miljørådgivning) glemte dette, og fik en bøde af Datatilsynet for manglende sletning af billeder, YouTube videoer, og Facebook opslag.
Hvis dit samtykke ikke beskriver, at du godt må bruger de Youtube videoer, eller Facebook opslag, øvrig marketing materiale som virksomheden har produceret, måske med personen om centrum, eller bare i rummet, ja så skal du fjerne personen. Dette kan jo nemt betyde hele indholdet. Det er da rigtig ærgerligt, hvis man lige har produceret noget godt marketing, trænings materiale, som nu blot kan destrueres.
Som jeg tidligere har skrevet, skal du føre: Tilsyn med Databehandlere.
Læs videre “Hvem modtager besked hvis din databehandler har en sikkerhedsbrist?”
D. 16 juli 2020 afsagde EU-Domstolen dom i den såkaldte Schrems II-sag. Domstolen erklærede ”Privacy Shield-afgørelsen” ugyldig, mens EU-Kommissionens standardkontrakter som udgangspunkt fortsat er gyldige. Dommen rejser således en række spørgsmål, der skal undersøges nærmere. Det Europæiske Databeskyttelsesråd drøftede konsekvenserne af dommen d. 17 juli 2020.
Læs videre “Hvad betyder EU’s dom om at Privacy Shield er ugyldigt?”
Med indførelsen af persondataforordningen, er det nu et krav, at man som dataansvarlig skal lave en risikovurdering.
Riskovurderingen bliver grundlaget for hvilke sikkerhedsforanstaltninger, der skal implementeres, og vil også blive brugt i forbindelse med tilsyn af databehandleren.
Læs videre “Hvordan laver jeg en Risikovurdering”
25 maj 2018 var en skelsættende dag for danske virksomheder. GDPR blev indført i Danmark, ja i hele EU.
Læs videre “Skal jeg føre tilsyn med mine Databehandlere?”Datatilsynet har offentliggjort deres årsberetning for 2019, der bl.a. omtaler væsentlige afgørelser i løbet af året.
Årsberetningen giver også et indblik i Datatilsynets virksomhed igennem 2019 og dykker ned i en række konkrete sager, der er blevet behandlet af Datatilsynet.
Du kan hente den her hos Datatilsynet
Overholdelse af sletteregler er jo tydeligt et område, som Datatilsynet har fokus på. Det er jo nemt at skrive, at man vil slette data efter en bestemt periode, men det betyder så også, at man skal sikre sig, at det sker.
Læs videre “Sådan overholder du automatisk GDPR slette regler på mailbokse”
Datatilsynet har d. 17 februar 2020 frigivet en vejledning, hvor man har taget stilling til behandling af personoplysninger om hjemmesidebesøgende.
Vejledningen gør, at flere områder nu er præciseret, og man giver også mange gode eksempler deri.
Læs videre “Datatilsynet har nye retningslinjer for behandling af personoplysninger til hjemmeside ejere.”