Blogg

Dataskydd och datasäkerhet går hand i hand

I en digitaliserad värld överlappar datasäkerhet och dataskydd varandra mer och mer. Den nya dataskyddsförordningen har lyft upp de här termerna på företagens agenda, och förändringarna den kommande förordningen kräver borde redan vara i implementeringsskede för fullt.

Med datasäkerhet avses skydd av servermiljön och datakommunikationen. Webbmiljöerna isoleras från varandra med nätkort och brandväggar. Bekanta datasäkerhetsverktyg för slutanvändarna är bl.a. virusbekämpningsprogram. Till datasäkerheten hör också fysisk bevakning av servrar.

Med dataskydd avses integritetsskydd såsom föreskrivs i personuppgiftslagen och förordningar. Rent tekniskt innebär det här en dataadministrationsprocess, där databehandlingen på servrar och styrande referensramar i databaser definieras. Personuppgiftsdata kan finnas både på servrar och i databaser. I ett välplanerat datalager är riskhanteringen av missbruk som riktar sig mot data på god nivå.

Dataskyddsverksamheten styrs av IT-styrningens (IT governance) arbete. De i IT-världen kända referensramarna ITIL och COBIT utgör grunden för detta:

  • Data lagras i regel i databaser (database, data warehouse).
  • Databasernas verksamhet följs upp med loggning.
  • Åtkomst till databasen har endast innehavare av behörigheter.
  • Åtkomst till databasobjekt har endast innehavare av åtkomsträttigheter.
  • För objekt i databasen kan införas specifika begränsningar t.ex. säkerhet på radnivå.
  • Databasens innehåll och integration kan krypteras. Kryptering kan göras även av data i rörelse.

För att verksamheten ur både datasäkerhets- och dataskyddsperspektiv ska ligga på en berömlig nivå, måste åtminstone de ovannämnda vara i skick i företagens IT-arkitektur. Det här är en god utgångspunkt för förberedelserna inför en eventuell audition som ska genomföras i samband med den kommande dataskyddsförordningen. Syftet med auditeringen är att kartlägga organisationens förståelse för och verkställande av både informationshanteringen och dataskyddet.

Utöver ovannämnda grundkrav kan det i vissa branscher (till exempel i finansbranschen och läkemedelsindustrin) finnas speciella krav på dataskyddet.

Då man förbereder sig inför en GDPR-audition (General Data Protection Regulation) ska åtminstone följande genomgås:

  • Har en dataskyddsansvarig utnämnts?
  • Hur samlas data in? Ska innehavarna av personuppgifter bes om de tillstånd som behövs för behandlingen av uppgifterna?
  • Hur loggas kunddata? Vilken är motiveringen, ifall kakor används?
  • Hur har administrationen av marknadsföringstillstånden skötts?
  • Vilken information delas med tredje part?
  • Hur har säkerhetsperspektivet beaktats beträffande identifiering, autentisering och auktorisering?
  • Genomgås Privacy policyn regelbundet, då det bl.a. kontrolleras att den är uppdaterad i överstämmelse med gällande förordningar?