Blog

Har du ikke styr på IT-sikkerheden = bøder

Har du ikke styr på IT-sikkerheden = bøder

Har du ikke styr på it-sikkerheden = bøder

Panikker du ved persondataforordningen skrappe persondataregler? Synes du, at det virker uoverskueligt at få overblik over, hvad der egentlig skal til for, at jeres IT-sikkerhed når et tilfredsstillende niveau ift. persondataforordningen? Fortvivl ikke! I mangler bare en plan at arbejde ud fra, og den kommer vi med et bud på her. Overordnet set handler det om at få taget nogle simple økonomisk hensigtsmæssige skridt, så i kommer godt i gang med processen.

 

Husk: Man straffer ikke de uskyldige 

Det er vigtigt at huske grunden til, at persondataforordningen overhovedet er blevet lavet: 

 

Loven er lavet for at beskytte borgernes privatdata mod læk, som kunne være undgået, hvis organisationerne havde vist rettidig omhu. 

 

Intentionen er dermed at straffe de organisationer hårdt, der behandler personhenførbare data og ikke passer tilstrækkeligt på det. Man kan derfor få en bøde og blive straffet, hvis man ikke håndterer persondata på en ordentlig måde. En vigtig ting at have styr på er de 7 GDPR principper.

 

Hvad kan du så gøre, for at undgå bøder?

Hvis jeg f.eks. var en IT-chef i en mindre eller mellemstor organisation og endnu ikke havde ordentlig styr på håndtering af persondata og it-sikkerhed, så ville jeg begynde at fokusere mere på IT-sikkerhed og håndtering af persondata, da det er VIGTIGT for virksomhedens fremtid. Hvis ikke I allerede har en god metode til at tænke IT-sikkerhed ind i organisationens arbejde, så er realiteten, at I kan stå foran en meget brat opvågning i den nærmeste fremtid. It-sikkerhed har aldrig været vigtigere, og der er bøder at hente, hvis man ikke har styr på ordentlige håndtering af persondata f.eks. Og hvis man som IT-medarbejder eller -ansvarlig føler, at man mangler en plan til at få styr på dette, så kan man med fordel tage udgangspunkt i dette forslag: 

Ressource-anbefalet prioriteringsliste mhp. at optimere IT-sikkerheden 

65% af min tid ville gå med at få ledelsen/bestyrelsen overbevist om, at persondataforordningen (og generel IT-sikkerhed) ikke kun er et projekt for IT-chefen.

 

Det er derimod et organisationsprojekt, som dermed kræver deltagelse på tværs af hele organisationen. 

  •     5% af min tid ville jeg bruge på at identificere, hvor organisationens kritiske data befinder sig (og det er ikke kun data, der direkte har noget med forordningen at gøre). 
  •     5% af min tid ville jeg bruge på at identificere, hvordan jeg kunne hæve sikkerheden omkring de kritiske data uden øgede udgifter for virksomheden. 
  •     5% af min tid ville jeg bruge på at få iværksat IT-sikkerheds-awareness-træning til medarbejderne. 
  •     5% af min tid ville jeg bruge på at indføre tekniske sikkerhedsinitiativer på arbejdscomputerne (udfra filosofien: ”Mange bække små gør en stor å”) 
  •     5% af min tid ville jeg bruge på at lave en beredskabsplan inklusiv pressetræning til direktøren. 
  •     De sidste 10% har jeg så til mine driftsopgaver og kaffe. 

Når jeg var i mål med ovenstående, ville jeg få lidt mere langsigtet hjælp til at: 

1.    Begynde at se på, hvad der sker på netværket. 

2.    Implementere simple tests/kontroller af IT-sikkerheden løbende. 

Følger i planen er i godt på vej til at have styr på it-sikkerheden og undgå potentielle bøder.