Få hjælp til sikkerhed og data

Sikkerhed og databeskyttelse handler om at beskytte personoplysninger mod uautoriseret adgang, misbrug, tab eller ødelæggelse. Det er både et juridisk krav og en vigtig del af at opretholde tillid mellem borgere, virksomheder og myndigheder. Uanset om data opbevares digitalt eller fysisk, skal der træffes passende tekniske og organisatoriske foranstaltninger for at sikre, at oplysninger håndteres ansvarligt og i overensstemmelse med databeskyttelsesforordningen (GDPR).

Hvilke overordnede krav er der til sikkerhed, når man behandler personoplysninger?

Når man behandler personoplysninger, stiller GDPR klare krav til, hvordan man skal beskytte data. Her får du et hurtigt overblik over de vigtigste krav til datasikkerhed.

Folk, der håndterer personoplysninger, skal beskytte data med passende sikkerhed – både teknisk, organisatorisk og fysisk. Oplysningerne skal skærmes mod tab, misbrug og uautoriseret adgang, og sikkerhedsniveauet bør tilpasses datatypernes følsomhed og den konkrete risikovurdering.

Kun nødvendige data må indsamles og opbevares. Saml aldrig flere oplysninger end formålet kræver, og slet eller anonymisér dem, så snart de ikke længere er relevante. Enhver behandling skal ske i overensstemmelse med det formål, de oprindeligt blev givet til.

GDPR kræver, at dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger. Det betyder blandt andet:

• Fysisk sikkerhed: Dokumenter med persondata – fx kontrakter, navnelister, CPR-numre og helbredsoplysninger – må ikke ligge fremme på skriveborde eller i printerbakker. De skal opbevares aflåst i skabe, skuffer eller rum, når de ikke bruges, og kun personer med et legitimt behov må have nøgle eller kode.
• Teknisk sikkerhed: Kryptering af bærbare enheder og e-mails med følsomme data, adgangskontrol med stærke passwords, to-faktor-autentificering og løbende softwareopdateringer for at lukke kendte sårbarheder.
• Organisatorisk sikkerhed: Klare databeskyttelsespolitikker, årlige medarbejdertræninger, registrering af adgangslogfiler og regelmæssige interne kontroller.
• Risikovurdering og DPIA: Ved høj risiko for de registrerede bør der laves en konsekvensanalyse (Data Protection Impact Assessment) og implementeres ekstra sikkerhedsforanstaltninger.
• Håndtering af databrud: Der skal være beredskabsplaner og procedurer for anmeldelse til Datatilsynet inden 72 timer samt hurtig underretning af de berørte personer, når bruddet kan medføre høj risiko.
• Databehandleraftaler: Eksterne leverandører, som behandler personoplysninger på vegne af organisationen, skal være kontraktligt forpligtet til at opretholde samme sikkerhedsniveau.

Ved konsekvent at følge disse krav kan alle, der behandler personoplysninger, sikre, at data håndteres lovligt, sikkert og ansvarligt.

Hvad er formålet med informationssikkerhed?

Formålet med informationssikkerhed er at beskytte virksomhedens og borgeres data mod uautoriseret adgang, ændringer, tab og misbrug.

Det handler om at sikre, at oplysninger:

• Forbliver fortrolige (kun tilgængelige for dem, der har ret til det)
• Er intakte (ikke ændret ved fejl eller ondsindet angreb)
• Er tilgængelige (kan bruges, når der er behov for dem).

Informationssikkerhed har især til formål at:

• Beskytte personoplysninger og overholde lovgivning som f.eks. GDPR
• Forebygge datalæk og hackerangreb
• Opretholde tillid hos kunder, samarbejdspartnere og ansatte
• Sikre forretningsdrift ved at undgå nedetid og datatab.

Formålet er at sikre, at information behandles sikkert, korrekt og ansvarligt – både teknisk og organisatorisk.

Hvad er forskellen på informationssikkerhed og cybersikkerhed?

Forskellen på informationssikkerhed og cybersikkerhed ligger i deres fokus og anvendelsesområde – selvom de overlapper hinanden.

Informationssikkerhed dækker alt omkring databeskyttelse – både fysisk og digitalt.

Cybersikkerhed fokuserer specifikt på digital sikkerhed og cyberangreb.

Du kan læse mere om cybersikkerhed og IT-sikkerhed i vores guide her.

Hvad er NIS2-direktivet?

NIS2-direktivet er EU’s nye lovgivning om cybersikkerhed, som skal styrke beskyttelsen af kritisk infrastruktur og digitale tjenester i hele EU. Det stiller højere krav til sikkerhed og risikostyring hos både offentlige og private aktører.

Hvornår træder NIS2 i kraft i Danmark?

Ifølge nyeste opdateringer træder NIS2-lovgivningen ikke i kraft i Danmark den 17. oktober 2024 som oprindeligt planlagt, men først den 1. juli 2025.

Hvem er omfattet af NIS2?

NIS2 omfatter større virksomheder (eller kritiske funktioner) og vigtige (mellemstore virksomheder) enheder i kritiske sektorer:

Det omfatter bl.a.:

• Sektorer: Energi, transport, sundhed, vand, finans, digital infrastruktur (f.eks. cloud, telekom), affald, fødevarer, post, offentlig forvaltning, rumfart, fremstilling af kritiske produkter, digitale tjenester (f.eks. online markedspladser).
• Størrelse: Virksomheder med flere end 50 ansatte og/eller omsætning over 10 mio. euro i visse sektorer.

Hvad betyder spyware?

Spyware er en type ondartet software (malware), der installeres på din computer eller mobile enheder uden din viden eller samtykke. Formålet med spyware er at indsamle information om dig og din aktivitet og sende den til en tredjepart, typisk en hacker eller en organisation.

Det kan blandt andet:

• Overvåge din online-aktivitet og browserhistorik.
• Optage tastetryk (keylogging) f.eks. brugernavne, adgangskoder, kreditkortnumre og personlige beskeder.
• Login-oplysninger og adgangskoder
• Tage billeder af din skærm med jævne mellemrum.
• Aktivere din enheds mikrofon eller kamera til at optage lyd eller video uden din viden.
• Foretage ændringer i dine sikkerhedsindstillinger, browserindstillinger eller netværksindstillinger for at give hackeren lettere adgang.

Du kan læse mere om malwares i vores guide, og forskellige computervirus, så du ved hvordan du kan håndtere og forebygge dem.