International Databeskyttelsesdag

Nyheder

Identitetssikkerhed
har aldrig været vigtigere

På den Internationale Databeskyttelsesdag kortlægger vi, hvordan identitetssikkerhed og adgangsstyring understøtter GDPR-arbejdet på fire centrale områder. 

Persondata behandles konstant, og der kan knapt gå en uge uden, at et nyt datasikkerhedsbrud når mediernes overskrifter. Det faktum bliver endnu mere aktuelt i dag. På den Internationale Databeskyttelsesdag. 

Siden indstiftelsen i 2007 har dagens formål været at fremme bevidstheden om privacy og best practices for databeskyttelse, og den markeres på nuværende tidspunkt i USA, Canada, Indien og 47 europæiske lande. 

Kort sagt en ualmindelig vigtig dag. Privacy handler i høj grad om at håndhæve retten til privatliv ved at kræve adgang til den information, der opbevares om en, og ved at kontrollere, hvem der får lov at behandle ens data. 

Længe har databeskyttelse været som det vilde vesten. I praksis ureguleret og ude af kontrol. Data har været overalt, og praktisk talt ingen blev holdt til ansvar for behandlingen eller beskyttelsen af den. Det har heldigvis ændret sig siden EU’s databeskyttelsesforordning fandt anvendelse tilbage i maj 2018.  

Databeskyttelsesudfordringerne er stadig slående mange steder. Men der er sket et skred i både privatpersoner og virksomheders bevidsthed, og disciplinen får endelig velfortjent opmærksomhed (at det potentielt skyldes truslen om bøder er sagen uvedkommende). 

Ifølge sikkerhedsvirksomheden Gemalto blev 214 dataoptegnelser stjålet eller mistet i første halvdel af 2018. 214 i sekundet. Databeskyttelse kan altså aldrig tages for seriøst. 

Læs også > Derfor kan du ikke stave til GDPR uden IAM 

Fire centrale områder

Det er umuligt at tale om databeskyttelse uden at tale om GDPR. Lige så umuligt er det dog at tale om databeskyttelse og GDPR uden at tale om identitetssikkerhed. 

Kernen i GDPR-lovgivningen er forsvaret mod persondatamisbrug og brud på datasikkerheden. De bærende piller i identitets- og adgangsstyring. Derfor er det næsten overraskende, at identitetssikkerhed i det mindste ikke antydes til i lovgivningen. For der er mindst fire centrale områder af GDPR-lovgivningen, hvor det praktisk talt er umuligt at opnå compliance uden at prioritere identitetssikkerhed og adgangsstyring. 

Behandling af personoplysninger

GDPR stiller høje krav til persondatabehandlingen og kræver, at personoplysninger beskyttes mod ”uautoriseret eller ulovlig behandling”. Her bidrager identitets- og adgangsstyringsløsninger med uundværlig godkendelses- og adgangsteknologi, der sikrer, at databehandlingen altid er autoriseret. Med de rette adgangspolitikker og rollebaseret adgangskontrol, bliver det nemlig let at kontrollere, at kun de autoriserede it-brugere tilgår ressourcer og personfølsomme data. Med en centraliseret identitetsplatform kan medarbejdere, kunder og partneres adgangsprivilegier hurtigt tildeles og fratages, når organisationsændringer forekommer, så compliance løbende sikres. 

Behandlingssikkerhed

Persondataforordningen stiller ligeledes krav om, at der foretages passende organisatoriske og tekniske foranstaltninger til at sikre behandlingssikkerhed. Det omfatter bl.a. krav om at sikre behandlingssystemets vedvarende tilgængelighed. Tilgængelighed og adgang til personoplysninger skal kunne genoprettes, hvis der forekommer en fysisk eller teknisk hændelse. En identitets- og adgangsstyringsplatform reducerer risikoen for både datatab og uautoriseret dataadgang og i tilfælde af datalæk, er det let at identificere, hvilke persondata, der er blevet kompromitteret. 

Dataminimering

For at være compliant med persondataforordningen skal dataminimering praktiseres og prioriteres. Derfor bør organisationer ikke opbevare mere data, end de har behov for til behandlingsformålet. Identitets- og adgangsstyring skaber centraliseret kontrol over al adgangs- og rettighedsinformation på ansatte, kunder og partnere. Samtidig skabes overblik over adgangenes brug og deres eventuelle udløb, hvilket gør det nemmere at slette adgange og brugerkonti, når de ikke længere er i brug. Ikke-overvågede spøgelseskonti er nemlig en betydelig sårbarhed i ethvert it-system og kan øge risikoen for datalæk betydeligt. 

Identity Governance

I arbejdet med databeskyttelse og GDPR-compliance er det afgørende at have overblik over aktiviteten i it-systemerne og tilgangen til data. Det overblik kommer med en identitets- og adgangsstyringsløsning. Her logges to afgørende områder: Hvem har hvilke adgange, og hvordan bliver de adgange brugt? En sådan løsning gør det også let at implementere de rette adgangspolitikker, så organisationens praksis lever op til GDPR-regulativerne. 

Læs også > Bliv GDPR-klar med 2ndC Compliance Suite 

Seneste indlæg


2019-01-25T14:27:06+00:00