Danmark tar täten i kampen mot dataläckor

Författare:

|

Datum:

|

Eftersom dataintrång blivit allt vanligare, satsar den danska dataskyddsmyndigheten, Datatilsynet starkt på att vägleda personuppgiftsansvariga och biträden om hur de undviker dataläckor och personuppgiftsincidenter. Den 8 januari 2024 publicerade myndigheten en vägledning på sin hemsida.

Ett vanligt problem är felaktig hantering av utgående massutskick (överträdelse 1). Ett enkelt misstag av en anställd, som till exempel väljer fel mottagare i ett utskick, kan resultera i att personuppgifter oavsiktligt delas med obehöriga mottagare. Därför rekommenderar Datatilsynet att man använder automatiserade processer för hanteringen av adresser och att man använder betrodda adresskällor som folkbokföringen. Vidare föreslår Datatilsynet att man minimerar vilka personuppgifter som ingår i utskicket och att man har interna riktlinjer i sin organisation för att säkerställa att de anställda gör rätt. Ovanpå detta kan organisationer se till att använda lösningar som fördröjer leveransen av ett utskick så att man kan stoppa det innan det hamnar i fel inkorg.

Ett annat scenario är förlust eller stöld av okrypterade enheter (överträdelse 6), vilket medför en hög risk för att känsliga uppgifter hamnar i orätta händer. Det finns många sätt på vilka data kan gå förlorade, t.ex. om man tappar bort en bärbar dator, ett USB-minne, en mobiltelefon, en surfplatta eller en extern hårddisk. Kryptering fungerar som organisationens första försvarslinje, eftersom åtgärden omvandlar uppgifterna till en oläslig kod som inte kan läsas utan rätt krypteringsnyckel. Myndigheten anser att kryptering bör användas som standard på alla organisationens enheter, tillsammans med ett kraftfullt skydd för lösenord och krypteringsnycklar. Utöver detta kan organisationer överväga att instruera medarbetare att inte spara information lokalt på sina enheter och be dem att i stället jobba direkt mot nätverksenheter som backas upp.

Ett tredje problem är att medarbetare får en alltför bred tillgång till data (överträdelse 7), vilket beror på felaktig lagring och felaktig hantering av åtkomstbegränsningar. Utan ordentlig kontroll kan anställda oavsiktligt få tillgång till information som de inte behöver, vilket ökar risken för dataförlust. För att förhindra detta rekommenderar Datatilsynet att man sätter upp tydliga riktlinjer för åtkomsträttigheter, använder verktyg för löpande övervakning och inför en central rättighetshantering. På så sätt säkerställs att endast de som har ett legitimt skäl kan få tillgång till informationen och att integriteten för personuppgifter inom organisationen säkerställs.

Nedan kommer en kort översikt över scenarierna som Datatilsynet beskriver, du kan klicka på länkarna för att läsa mer om varje situation.

Överträdelse 1: Data skickas till fel mottagare på grund av fel vid massutskick av e-postmeddelanden.

Överträdelse 2: Röjande av skyddade adresser efter ändringar i IT-system.

Överträdelse 3: Felaktig vidarebefordran av uppgifter vid handläggning av ärenden.

Överträdelse 4: Underlåtenhet att radera uppgifter när man använder digitala verktyg.

Överträdelse 5: Automatisk ifyllnad av e-postadresser i mailprogram som leder till felutskick

Överträdelse 6: Förlust eller stöld av bärbara enheter som innehåller okrypterade data.

Överträdelse 7: För omfattande åtkomst till data på nätverksenheter.

Överträdelse 8: Obehörig åtkomst till data på grund av fel på programvara och otillräcklig kontroll.

Överträdelse 9: Exponering av data som lagras i mallar och formulärlösningar.

Överträdelse 10: Skadlig programvara (ransomware) som orsakar förlust och missbruk av data.

Läs mer:

Datatilsynet, pressmeddelande 8 Januari 2024