Datatilsynet har fået mange henvendelser omkring tilsyn, så de har valgt at offentligtgøre 3 typer spørgeskemaer, som de benytter ved tilsyn.
Politikker og Procedurer
Det er tydligt, at GDPR ikke blot er et dokument man udfylder og lægger væk. Nej datatilsynet vil sikre, at man fortsat har styr på tingene. I de 3 spørgeskemaer beder man om bevis for at tingene sker, og at der er løbende kontroller.
Jeg har herunder beskrevet lidt om hvert dokument, og efter hvert afsnit er der link til Datatilsynets skema.
1. Hvem har adgang til hvad?
Der er fokus på, hvem der kan tilgå hvilke data. Så det betyder, at der skal være styr på bruger administrationen.
Spørgeskemaet har fokus på en kommune, men spørgsmålene vil også kunne bruges i en privat virksomhed
- Liste med alle brugere, og dato for hvornår der sidst er kigget på rettigheder for brugerne.
- Log udtræk fra journal system, hvis der behandles fortrolige eller følsomme personoplysninger (kunne være et HR system)
- Eksempel på hvordan der tildeles adgangsrettigheder.
- Dokumenter med politikker, procedurer med mere.
Se skemaet her-> Spørgeskema ved autorisation om adgangsstyring
2. Brud på datasikkerheden.
Du skal have styr på hvordan du vil håndtere et brud på datasikkerheden. Du skal sikre dig, at du har log over hændelser.
I skemaet spørges der om man har politikker og procedurer for hvordan et eventuelt datasikkerhedsbrud behandles i virksomheden.
- Hvordan opdages et sikkerhedsbrud?
- Hvem afgører om der er brud på personsikkerheden?
- Hvem afgører om det skal meldes til datatilsynet?
- Hvordan og hvor ofte orienterer i medarbejdere om IT sikkerhed herunder persondatasikkerhed?
- Oversigt over alle brud på persondatasikkerheden
Kommentar:
Jeg foreslår at central registere alle former for hændelser i en hændelseslog, som kan være et dokument eller regneark. Ikke kun dem der omhandler persondatasikkerhed, men også drifts relaterede, såsom nedbrud på netværk eller server. En sådan generel oversigt over hændelser i netværk og systemer viser, at man har en procedure og en process for hændelser, og beviser at man tager det seriøst og kan dokumentere dette.
Se skemaet her-> Oplysningsskema vedrørende anmeldelse af brud på persondatasikkerheden
3. e-mail sikkerhed
Siden januar 2019 har der været krav om kryptering af emails. Jeg har også en artikel på min blog: Gode råd om krav om email kryptering.
Skemaet beder eksempelvis om svar på:
- Sender dit firma emails med fortrolige oplysninger?
- Hvem sender i til?
- Anvendes der kryptering?
- Hvem kan sende krypterede emails?
- Hvis der sendes følsomme oplysninger, hvorfor og hvordan sendes disse?
- Hvordan er krypterings løsningen implementeret?
- Mailserver operativsystem, mailserver software, 3. Part software
- Bruges der en ekstern udbyder?
- Riskovurderingen bedes fremsendt.
- Kopi af konfigurations filer bedes fremsendt.
- Kopi af offentlige certifikater til brug for email kryptering bedes fremsendt.
Skemaet kan ses her-> Oplysningsskema vedrørende kryptering af e-mails
Hvad er fortrolige og hvad er følsomme oplysninger:
Fortrolige oplysninger kan f.eks. være oplysninger om strafbare forhold og personnumre.
Følsomme oplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk, person, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller seksuelle orientering.
Mere info på datatilsynets hjemmeside: Hvad er personoplysninger?
Er du overrasket?
Syntes du at skemaerne overrasker, og er der områder hvor du tænker.
Jeg må vist hellere lige besøge det område igen