Har vi fået fire sikkerhedsprincipper med GDPR?

GDPR har med et sikkerhedsprincip om robusthed understreget, at man ikke kan sige databeskyttelse uden informationssikkerhed. Men hvordan opnår din organisation robusthed? Det viser afdelingsdirektør Veronica Jarnskjold Buer i dette synspunkt.
Brødtekst

Alle os, som arbejder med informationssikkerhed, er godt kendt med sikkerhedsprincipperne F - I - TFortrolighed, Integritet og Tilgængelighed. 

Sikkerhedsansvarlige og databeskyttelsesrådgivere har fremhævet disse principper i årtier og mindet om at tage dem i betragtning i interne og eksterne risikovurderinger.

Men har vi nu fået et fjerde sikkerhedsprincip med databeskyttelsesforordningen: Robusthed?

Artikel 32 i forordningen lyder:

»Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål [...] gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. [...] b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester.«

Hvad er robusthed egentlig?

Databeskyttelsesforordningen definerer ikke robusthed (resilience), men den siger alligevel noget om det i forordene til punkt 4: »[…] kunne modstå utilsigtede hændelser eller ulovlige eller ondsindede handlinger, som kompromitterer tilgængeligheden, autenticiteten, integriteten og fortroligheden […]«.

Sikkerhedsprincipper i GDPR - fortrolighed, integritet, tilgængelighed og robusthed
Illustration: Datatilsynet.no

Den mest passende fortolkning af dette præsenteres muligvis af amerikanske NIST (National Institute of Standards and Technology), der siger, at robusthed handler om informationssystemernes evne til at:

  • fortsætte med at operere under ugunstige forhold eller stress, selv under forringet eller nedsat tilstand, mens essentiel operationel drift opretholdes; og
     
  • genoprette normaltilstand på en effektiv måde, inden for en tidsramme, der er i tråd med virksomhedens behov.

Robusthed indebærer, at organisationens informationssystemer og tjenester, der behandler personoplysninger, skal kunne tåle ændringer og ydre påvirkninger. Samtidig skal databeskyttelsesprincipperne og de registreredes rettigheder og friheder beskyttes. Det gælder under både normale og unormale omstændigheder. 

Det vil for eksempel sige, at informationssikkerheden i software og tjenester ikke svækkes eller skal genopsættes, men opretholdes af ændringer (dette inkluderer opdateringer) og ydre påvirkninger.

Når organisationen sikrer, at systemerne har indbygget fortrolighed og informationssikkerhed, bygges robusthed ind i systemerne. Robusthed skal også sikre stabilitet over tid for informationssystemer, der behandler personoplysninger.

Hvordan opnår du robushed?

Tekniske og organisatoriske tiltag for at opnå robusthed kan være:

  • Regelmæssige oplæringstiltag og oplysningskampagner for at opbygge en privatlivs- og sikkerhedskultur i hele virksomheden
     
  • Procedurer for effektiv håndtering af afvigelser, som inkluderer at: 
     
    • opdage sikkerhedshændelser
       
    • analysere sikkerhedshændelser for at finde ud af, om der har været en overtrædelse af persondatasikkerheden
       
    • genoprette normaltilstand
       
    • rapportere overtrædelser af persondatasikkerheden til ledelsen, de registerede, de behandlingsansvarlige, Datatilsynet m.m.
       
    • implementere tiltag, som lukker sårbarheden, der forårsagede hændelsen
       
    • evaluere og lære af hændelsen (det omfatter også uddannelse af ansatte) 
       
  • Adgangsadministration - sikre fortrolighed, integritet og tilgængelighed
     
  • Regelmæssig evaluering af effektiviteten af eksisterende tiltag
     
  • Løbende evaluere nye tekniske og organisatioriske tiltag i forhold til »state of the art« og udviklingen i samfundet
     
  • Regelmæssig sikkerhedstest af systemer, løsninger, programmer og værktøjer
     
  • Oprette og vedligeholde kontinuitetsplaner, herunder sikkerhedskopierings- og gendannelsesrutiner
     
  • Oprette og vedligeholde beredskabsplaner
     
  • Regelmæssige øvelser for medarbejdere om kriser og udfordringer i overensstemmelse med virksomhedens beredskabs- og kontinuitetsplaner
     
  • Styringssystem til beskyttelse af persondata og informationssikkerhed

Sikkerhedsprincipperne skal beskytte privatlivets fred

Manglende robusthed kan føre til sikkerhedshændelser. Det er ikke selve manglen på robusthed, der vil være et brud på informationssikkerheden, men resultatet af manglen på robusthed.

I forordningens artikel 4, stk. 12 defineres et brud på persondatassikkerheden som: »et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet«.

Alle fire sikkerhedsprincipper skal bidrage til en effektiv beskyttelse privatlivets fred: Dine og mine rettigheder og friheder. Den dataansvarlige og databehandleren har pligt til at sørge for dette.

Vi har traditionelt set haft de tre sikkerhedsprincipper F - I - T. Men er vi med GDPR blevet beriget med fire: R - I - F - T?

Debatindlægget er oprindeligt bragt på Personvernbloggen.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her