Loading...

Identity and Access Management kan gøre en stor forskel for de virksomheder, der endnu ikke er helt klar til, at persondataforordningen træder i kraft den 25. maj. Her på falderebet bringer vi dig 4-punkts-tjeklisten, der kan bringe dig et stort skridt nærmere GDPR-compliance. 

Den sagnomspundne dag er lige om hjørnet: På fredag d. 25. maj træder EU’s nye persondataforordning i kraft. For mange virksomheder har det både været en økonomisk og organisatorisk kamp at blive klar, og en betragtelig andel når det ikke til deadline. I en undersøgelse gennemført blandt brugere af Version 2, er 17 % af respondenterne usikre på, om deres virksomhed bliver klar inden den 25. maj 2018. Blandt undersøgelsens offentligt ansatte respondenter er optimismen endnu lavere: Hele 25 % er usikre på, om deres arbejdsplads bliver klar. 

Persondataforordningen er ikke specielt detaljeret omkring, hvordan man som virksomhed teknologisk opnår compliance med regulativerne. Derfor har det været – og kan fortsat være – en udfordring for it-professionelle at klargøre deres organisation til de nye databeskyttelsesregler. 

Er det noget, du kan genkende? Så er der måske gode nyheder. For hvis din virksomhed allerede har en Identity and Access Management-løsning (eller er på nippet til at implementere en), så er vejen til GDPR-målstregen måske ikke så lang, som du tror. 

Tjeklisten: Er du klar til GDPR?
Der findes fire kerneområder, som er afgørende for at opnå compliance med forordningen. Dette er tjeklisten, der kan bringe din virksomhed nærmere GDPR-compliance.

Sørg for, at din organisation har styr på de 4 kerneområder

Mange virksomheder har allerede styr på det grundlæggende inden for identitets- og adgangsstyring. Det er vigtigt, fordi det giver overblik over, hvilke brugere og roller, der kan tilgå hvilke applikationer og data. På den måde bliver det lettere at vurdere, om de rette sikkerheds- og adgangspolitikker er på plads.  

Antallet af cyberangreb stiger, og det samme gør deres kompleksitet. I dag må virksomheder og organisationer gøre alt, hvad de kan for at imødese alle typer risici. At have fuldt overblik over adgange gør det muligt at bekæmpe cybertrusler, og bringer samtidig organisationen et vigtigt skridt tættere på compliance med GDPR. 

Der findes fire kerneområder, som er afgørende for at opnå compliance med forordningen. Stil dig selv følgende spørgsmål for at tjekke, om din organisation er dækket ind: 

Ved I hvem, der har adgang til hvad?

Persondataforordningens primære mål er at sikre privatlivet og beskytte persondata. Derfor er det afgørende, at virksomheder og organisationer kan dokumentere deres processer for behandling, opbevaring og beskyttelse af persondata. Det indebærer, at I skal stå til ansvar for, hvilke brugere, der har adgang til hvilke applikationer og hvilken data, så I kan sandsynliggøre, hvordan et eventuelt datalæk forekom. Og ikke mindst dokumentere, at I har gjort, hvad I kunne for at undgå det. Med styr på adgange forbedres gennemsigtigheden, og det bliver markant lettere at reducere de sikkerhedsrisici, der kan udfordre jeres GDPR-compliance. 

Har I adgangspolitikkerne på plads?

Efter den 25. maj er det et krav, at virksomheder og organisationer implementerer passende teknologiske og organisatoriske foranstaltninger for at beskytte persondata. Et vanskeligt foretagende, hvis ikke I har defineret jeres adgangspolitikker. I skal have fuldt og centraliseret overblik over procedurerne for tildeling af adgange til ressourcer, applikationer og data. Det overskueliggør, hvor I opbevarer persondata, hvem der har adgang til den – og som man desværre ser i mange virksomheder: hvor mange, der har unødigt adgang til den. På den baggrund bliver det let at definere faste politikker og strategier for tildeling af roller og rettigheder, så I altid kan bevare kontrollen.  

Har I overblik over, hvor I lagrer persondata?

En stor GDPR-udfordring er at identificere, hvor meget persondata organisationen opbevarer, og hvor mange steder den opbevares. Data kan befinde sig overraskende mange steder – og i kritiske tilfælde også uden for virksomhedens almindelige it-systemer. Et vigtigt skridt mod compliance er altså at kortlægge, hvor store mængder data, I opbevarer – og præcist hvor den opbevares. Her kan en god Identity and Access Management-løsning hjælpe jer med at få overblik over de forretningsprocesser, der behandler og lagrer persondata, så I kan få dem strømlinet. 

Logger I alle personrelaterede hændelser?

Persondataforordningen stiller krav om, at datasikkerhedsbrud indberettes til Datatilsynet. Det skal ske senest 72 timer efter, at bruddet er identificeret. Derudover skal virksomheden kunne dokumentere, hvilke individer, der blev påvirket af bruddet, hvor længe bruddet stod på, og hvad der er gjort for at udbedre skaden. Det er derfor nødvendigt at have en rapporteringsfunktion, der dækker alle personrelaterede hændelser i samtlige af organisationens systemer og applikationer. Alle ændringer i adgange, hvem der har foretaget dem og hvorfor, de er foretaget, bør registreres. I tilfælde af datalæk kan den nødvendige information effektivt udtrækkes og bruges til at dokumentere processerne over for myndighederne. 

Hvis du har en strategi for Identity and Access Management, så brug hovedelementerne i løsningen og udnyt dem til at strømline jeres persondatabehandling. Så er du og din virksomhed allerede godt på vej mod fuldt overblik og compliance med GDPR-regulativerne. 

Nysgerrig på, hvordan 2ndC kan hjælpe jer med bruger- og adgangsstyring, så I bliver rustet til GDPR?

> Læs mere om vores løsning her
2018-09-25T13:14:20+00:00