At overføre persondata i henhold til GDPR

Når organisationer overfører data, kommer de uvægerligt til at kompromittere dens sikkerhed til en vis grad. Den er ikke mere sikret bag fysiske forsvar, såsom en låst skuffe i organisationens sikre kontorlokaler og over midlet til at udføre overførelsen med kan gå tabt, blive stjålen eller hacket.

Der er ikke meget, organisationer kan gøre for at udelukke tab af data, så problemet kommer til at være, hvordan man kan mindske skaden, når først data er afsløret?

Det er en særlig presserende bekymring i og med, at EU databeskyttelsesforordningen (GDPR) træder i kraft om mindre en otte måneder.GDPR styrker EU-borgeres rettigheder angående deres persondata og gælder for alle organisationer i verden, der bearbejder sådan data.

Data overførsler

Selvom det at overføre data tit er risikabelt, er det sædvanligvis nødvendigt. US regeringens forsøg på at bandlyse USB sticks slog fejl, fordi det simpelthen var for upraktisk. Transportable databærere er utroligt nyttige til at flytte filer og vedligeholde backups.

GDPR fastlægger, at berørte parter har ret til transportable data, hvilket anerkender vigtigheden af transportable databærere. Det gør det muligt for individer at få og genbruge deres persondata til egne formål tværs over forskellige sektorer. Det gælder:

  • For persondata, som et individ har givet til en kontrollør;
  • Hvor bearbejdningen er baseret på individets samtykke eller på udførelsen af en kontrakt; og
  • Når bearbejdningen udføres af automatiserede midler.

Al persondata skal overføres i en struktureret, almen brugt og maskinlæserlig form.

Pseudonymisering og kryptering

GDPR anbefaler organisationer at pseudonymisere og/eller kryptere al persondata. Det vil ikke afholde ondsindede aktører fra at få adgang til informationen helt, men det vil gøre det meget sværere for dem. Ifølge Gemaltos Breach Level Index har kun 4% af brud på datasikkerheden siden 2013 involveret krypteret data.

Pseudonymisering maskerer data ved at erstatte identificerende informationer med kunstige identifikatorer. Selvom det er væsentligt for at beskytte data – og det nævnes 15 gange i GDPR – og kan hjælpe med at beskytte privatssfæren og sikkerheden af persondata, så har pseudonymisering sine begrænsninger, hvorfor GDPR også nævner kryptering.

Kryptering tilslører også information ved at erstatte identifikatorer med noget andet. Dog, hvor pseudonymisering tillader, at enhver med adgang til informationen kan se dele af datasættet, tillader kryptering kun anerkendte brugere at have adgang til det fuldstændige datasæt.

Pseudonymisering og kryptering kan bruges samtidigt eller separat.

At implementere kryptering

Hverken kryptering eller pseudonymisering kræver teknisk viden for at blive implementeret (hvad er godt nyt for den britiske indenrigsminister Amber Rudd). Udfordringen er for organisationer at få passende sikkerhedspolitikker og procedurer på plads og få gjort personale bevidst om deres pligter.

Vores GDPR bevidsthedsfremmende e-læringskurser for personale er en fleksibel måde at introducere dit personale til forordningens konformitetskrav. Det dækker anvendelsesområdet af forordningen, nøglerollerne indenfor databeskyttelse, principperne for at indhente og bearbejde personlige informationer og hvordan at anvende de krav i din organisation.

Dette kursus er egnet til al personlae og med de stigende omkostninger som følge af brud på datasikkerheden år for år, er det væsentligt, at alle i din organisation følger bedste praksis for at forblive sikker.

Find ud af mere om vores GDPR GDPR bevidsthedsfremmende e-læringskurser for personale >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.