Hvad er systemsikkerhed om persondata?

Faglig nyhedKravene om persondata skal blandt andet sikre fortroligheden af data. Personer skal sikres imod, at deres oplysninger videregives uberettiget, ligesom der skal være rimelig sikkerhed for, at dine systemer ikke kan hackes. Du skal derfor analysere risikoeksponeringen for dine persondata samt iværksætte organisatoriske og tekniske sikkerhedsforanstaltninger i forlængelse af din risikovurdering.

Om revisor

Vores kommende vejlednings bilag 2 redegør for databehandlings-sikkerhed i relation til persondata. Bilagets præsentation er tredelt.

Det første step er en risikovurdering af dine persondata, opdelt efter sandsynligheden for, at de kan kompromitteres og konsekvensen af en sådan hændelse. Erhvervsstyrelsen har udarbejdet et praktisk værktøj, der kan hjælpe dig med at identificere de områder, der er forbundet med størst risiko.

Værktøjet Sikkerhedstjekket finder du her.

Næste step er de organisatoriske foranstaltninger, der imødegår risici. Relevante kontroller omfatter:

  • Brug af password, der begrænser brugeres adgang i forhold til relevante arbejdsopgaver
  • Løbende kontrol og ajourføring af adgangssystemet, herunder fornyelse af passwords
  • Faste procedurer til forebyggelse af ukontrolleret cirkulation og kopiering af persondata (mail-disciplin, disciplin ved håndtering af klienters regnskabsmaterialer m.v.)
  • Sikkerhed om persondata på fysiske medier (sikkerhed om tilgængelighed af ringbind, USB, dvd m.v.)
  • Uddannelse og instruktion af dine ansatte.

Det sidste step omhandler de tekniske foranstaltninger, der kan imødegå risici, såsom:

  • Teknisk beskyttelse mod uautoriseret adgang, herunder firewalls ved eksterne kommunikationslinjer
  • Kryptering af persondata, der transmitteres via eksterne kommunikationslinjer (f.eks. mails og overførsler af persondata til serviceleverandører eller til klienter, som revisor er serviceleverandør (databehandler) for)
  • Sikkerhedsforanstaltninger mod virus
  • Regelmæssig backup-procedurer.

Helt kort kan man sige, at du skal leve op til god it-sikkerhed set i lyset af de risici, der er ved at opbevare dine kunders data. God it-skik er en standard, som hele tiden bevæger sig. Derfor er det en god ide løbende at have en dialog med din it-leverandør eller med it-konsulenter om din sikkerhed og om, hvorvidt den bør opdateres.

Hertil skal hele dit setup være dynamisk, så du sikrer opdatering ved ændringer af dine typer af og kilder til persondata og de heraf afledte ændringsbehov til kravene til systemsikkerhed.