Sikkerhed og persondataforordningen (GDPR)

Privatlivssikkerhed og privacy by design

Sikkerhed og persondataforordningen (GDPR)

EU's persondataforordning introducerer en række nye krav til privatlivssikkerheden, og giver privatpersoner bedre kontrol over deres personlige oplysninger. Denne artikel handler om sikkerhedsforanstaltninger, som EU kræver af virksomhederne. Herunder privacy by design.

Persondataforordningen (GDPR) er en EU-forordning, som er sat i verden for at forbedre enkeltpersoners kontrol med deres personlige oplysninger. Den skal tilmed sørge for harmonisering af datalovene i de europæiske lande og dermed sikre, at de er i overensstemmelser med den teknologiske standard i den digitale tidsalder. Den erstatter dermed Persondataloven i Danmark. Det tvinger mange virksomheder til at indtænke datasikkerhed i deres løsninger og måske endda udvikle nye løsninger eller tilkøbe software for bedre at kunne håndtere behandlingen af personlige oplysninger.

Eksempelvis skal nye programmer designes efter de nye rettighederne, forbrugerne har fået i persondataforordningen. I EU's forordning kaldes dette princip privacy by design.

Privacy by design 

Persondataforordningen understreger, at man altid bør tage state-of-the-art datasikkerhedsløsninger i betragtning, når man eksempelvis vælger et IT-system. Det specificeres ikke, hvad det betyder, or den slags ændrer sig naturligvis løbende. Der er altså ikke noget facit, hvorfor du heller ikke kan blive certificeret som en dataetisk eller datasikker virksomhed som sådan. Der er dog en række elementer, som i en given tid vil blive regnet for at være standard.

Persondataforordningen introducerer begrebet Privacy by design (databeskyttelse gennem design). Det er et princip, der tvinger virksomheder til at indtænke datasikkerhed i design- og udviklingsfasen ved udviklingen af IT-systemer og programmer. Altså skal databeskyttelse indbygges i nye processers arkitektur helt fra starten. Det kan eksempelvis være ved at udvikle et lønsystem, der automatisk sletter forældede data efter en given dato, eller et program som Contractbook, hvor man altid kan tilgå sine oplysninger direkte. Her kan retten til at blive glemt og retten til indsigt eksempelvis indbygges direkte i systemets design og arkitektur. Men selvom man har et system, som automatisk sletter data ifølge ens slettepolitik, skal man tjekke op på at det rent faktisk er sket.

Man finder også begrebet Privacy by Default (databeskyttelse gennem standardindstillinger) i persondataforordningen (GDPR). Det betyder, at programmerne udvikles og designes til kun at behandle persondata, som er nødvendig for at udføre det enkelte formål, og kun i det tidsrum, det er nødvendigt. Igen kunne det være at udvikle et system, der ikke indsamler oplysninger om køn og alder, hvis det ikke er nødvendigt for at systemet kan udføre sin givne opgave. Et system skal altså kun indsamle oplysninger der er "need-to-have" og ikke "nice-to-have".

Sikkerhed i persondataforordningen

Da alt i realiteten kan hackes, bør man holde databehandling på et minimum. Men bør altså sørge for, så vidt muligt, kun at opbevare og behandle data, der tjener et formål. Hermed tager man også så få risici som muligt.

Fysisk opbevarede data skal være låst inde, og bør ikke ligger fremme. Altså fordrer persondataforordningen digitalisering og en clean desk policy. Gmail og USB-nøgler bør være krypterede og pseudonymisering samt kryptering anbefales, om end det ikke er et krav. Logning kan være en god idé, da man på den måde kan finde ud af, hvem der har set hvad, og om der eventuelt har været et brud på datasikkerheden.

Procedure for brud på datasikkerheden

Persondataforordningen gør det klart, at tilsynsmyndigheden (i Danmark er det Datatilsynet) skal underrettes senest 72 timer efter opdagelsen af et brud på datasikkerheden. Det samme skal personen, som oplysningerne drejer sig om. Man er dog undtaget, hvis der ikke er nogen risiko involveret (eksempelvis hvis oplysningerne kun har været tilgængelige i få sekunder på en hjemmeside, ingen har set dem og de ikke er blevet fanget af søgemaskinerne). Man skal dog altid føre en intern log over databrud.

Hvis sikkerhedsbruddet involverer høj risiko for rettighedsbrud, skal anmeldelsen gives uden forsinkelse. Det er ledelsen i en virksomhed, der har ansvaret for, at man har udviklet en korrekt procedure i tilfælde af brud på datasikkerheden.

What’s a Rich Text element?

The rich text element allows you to create and format headings, paragraphs, blockquotes, images, and video all in one place instead of having to add and format them individually. Just double-click and easily create content.

Static and dynamic content editing

A rich text element can be used with static or dynamic content. For static content, just drop it into any page and begin editing. For dynamic content, add a rich text field to any collection and then connect a rich text element to that field in the settings panel. Voila!

How to customize formatting for each rich text

Headings, paragraphs, blockquotes, figures, images, and figure captions can all be styled after a class is added to the rich text element using the "When inside of" nested selector system.

  • fnasdaksjnd

Kom i gang nu!