Nye EU-krav på vej. Har du styr på IT-sikkerheden?

Nye EU krav på vej: GDPRHar din virksomhed styr på behandlingen af den data, som I indsamler om kunderne? Ellers er det på høje tide at få det.

Den 25. maj 2018 træder EU’s nye forordning om behandling og opbevaring af persondata – den såkaldte GDPR (General Data Protection Regulation) i kraft. Loven betyder en række ændringer i den måde, vi i dag behandler den data, vi henter fra vores brugere. Helt overordnet set med det formål, at brugernes data skal beskyttes.

Målet med den nye forordning var at ensrette reglerne i de 28 EU-lande, så særligt store virksomheder var underlagt de samme regler, uanset hvor i EU de placerede virksomheden. I praksis endte aftalen dog med at ligge en del af fortolkningen ud til de enkelte lande. Harmoniseringen blev derfor reelt ikke så omfattende som først ventet.

Det er ikke noget nyt, at virksomhederne har en forpligtelse overfor deres brugere, særligt når det kommer til data. Derfor er det heller ingen revolution, der er på vej, selvom der har været en del postyr om de nye regler. Kort sagt handler det om at have styr på sikkerheden, hvilket jo altid har været en god ide.

Ikke desto mindre har den nye forordning allerede fået en del eksperter til at rynke på panden, særligt på grund af de nye muligheder for at straffe. For at forstå denne bekymring vil vi først se nærmere på, hvad der konkret bliver ændret den 25. maj 2018.

I denne artikel kan du læse om:

Hvad indebærer de nye GDPR-regler
Nye bøder i vente
GDPR hackernes paradis?
Hvem rammer bøderne
Sådan sikrer du din virksomhed

GDPR- kort fortalt. Hvad er ændret?

En af de mest tydelige ændringer drejer sig om indsamling og lagring af persondata. Fremover vil det være et krav, at brugerne skal give et utvetydigt samtykke til, at virksomheder indsamler deres data. Det betyder i praksis, at brugerne fremover aktivt skal godkende, at deres data bliver indsamlet.

I forordningen ligger også et krav om, at virksomheden skal dokumentere, hvad de bruger den indsamlede data til, samt hvordan de sikrer, at persondata bliver behandlet i overensstemmelse med lovgivningen.

Forordningen pålægger desuden virksomhederne at redegøre for hvilken data, der bliver indsamlet, samt hvad disse data konkret bliver brugt til. Derudover skal virksomheden dokumentere, at de ikke gemmer data, medmindre det er relevant for virksomheden at beholde den.

I forlængelse af dette skal virksomhederne bevise, at de sletter burgernes data, når det ikke længere er relevant for dem at beholde den. Hvis data bliver gemt, skal det med andre ord klart fremgå hvor længe og med hvilket formål.

GDPR giver desuden brugerne en række rettigheder i forhold til deres egen data. Det skal blandt andet være muligt at se den data, som virksomhederne har samlet om dig. Ydermere skal denne data præsenteres på en overskuelig måde, så du kan videregive den til konkurrerende virksomheder.

Derudover skal det være nemmere for brugerne at få data om dem slettet. Som en del af den nye forordning, pålægges den dataansvarlige nemlig at gøre et rimeligt forsøg på at slette dine oplysninger, hvis du ønsker dette. Ikke blot hos virksomheden selv, men også hos alle de samarbejdspartnere, som data måtte være delt med.

Sidst men ikke mindst pålægges virksomhederne omgående at underrette det nationale datatilsyn, hvis de opdager et sikkerhedsbrist. I særlige tilfælde kan virksomhederne også blive bedt om at meddele de brugere, hvis data potentielt er blevet lækket, om dette brist.

Kort sagt skal du være opmærksom på følgende:

  • Hvordan sikrer du, at brugerne aktivt vælger at give deres data?
  • Hvorfor og hvor længe gemmer du data?
  • Hvordan sikrer du, at unødig data slettes?

Store bøder kan være i vente

Store bøder pga ny EU krav

Som en del af den nye forordning strammer EU desuden grebet om de virksomheder, der ikke lever op til kravene. Det sker, ved at skrue markant op for de bøder, som virksomhederne kan få.

Overordnet set, kan de nye bøder deles i to, alt efter hvilke overtrædelser, der er tale om:

2 procent af virksomhedens omsætning eller 10.000 Euro for manglende efterlevelse af den dataansvarlige eller databehandlerens pligter.

4 procent virksomhedens omsætning eller 20.00 Euro for manglende efterlevelse af principperne, de registreredes rettigheder, overførsel til lande udenfor EU uden retligt grundlag eller manglende efterlevelse af ordrer fra Datatilsynet.

Bøden størrelse vil altid være den højeste af de to satser. Små virksomheder kan med andre ord komme til at betale langt over de 4 procent, hvis de ikke har styr på deres sikkerhed.

Der er dog ingen tvivl om, at det primært vil være store virksomheder og statslige institutioner, der vil blive holdt et særligt strengt øje med. Dog er der gode grunde til have sikkerheden i top, selvom du er en lille virksomhed. Da der endnu ingen domme på området, er det umuligt at spå om, hvem der i første omgang bliver ramt af den nye forordning.

Bliver forordningen til hackernes fordel?

Bødestraffene har været en af de ting, der har været meget omdiskuteret i forbindelse med at GDPR blev stemt igennem. Kritikere mener, at de høje bøder i sidste ende kan komme alverdens hackere til gode.

Hvis en hacker formår at finde et sikkerhedshul på din side, ved de nu præcis, hvad denne data er værd. Fordi bødesatserne nu er faste, kan hackerne relativt nævnt regne sig frem til, hvad det vil koste virksomheden, hvis hackeren vælger at sladre til myndighederne om hullet.

Det betyder, at hackerne kan forlange en minimalt lavere pris for ikke at sladre om, at sikkerheden ikke er, som den skal være. På den måde frygter nogle eksperter, at man reelt giver hackerne bedre vilkår til at afpresse virksomhederne ved at indføre de høje bødetakster.

Usikkerhed om bøder

Usikkerhed om bøder

Som tidligere nævnt er det i en nogen grad op til de enkelte medlemslande at afgøre, hvordan de vil implementere den nye forordning. Det ligger blandt andet helt ikke fast, hvornår de enkelte virksomheder skal straffes.

Det betyder i praksis, at der kan blive tale om en meget streng håndhævelse af reglerne, som fører til enorme bøder, ligeså snart en virksomhed bliver opdaget i ikke at leve op til forordningens retningslinjer. På den anden side kan det også være, at de enkelte medlemslande vælger en mere lempelig tilgang. Eksempelvis ved, at virksomheder i første omgang rammes af en advarsel, før den tunge bødehammer falder.

Vælger medlemslandene førstnævnte løsning risikerer man at give hackerne enormt stærke kort på hånden. Derimod risikerer man, at virksomhederne ikke har så travlt med at lukke deres sikkerhedshuller, hvis ikke straffen rammer prompte.

Det kan du gøre

Som virksomhed er der altså grund til at kigge de nye regler grundigt igennem, så du vil sikre dig, at den nye forordning ikke bliver en dyr forretning for din virksomhed. Herunder vil være en anbefaling til nogle af de skridt, du bør tage for at sikrer, at du behandler dine data på en hensigtsmæssig måde.

Få et SSL certifikat. Vigtigheden heraf kan næsten ikke overdrives. For mange virksomheder vil det faktisk være i direkte strid med GDPR-lovgivningen, hvis ikke I allerede har et SSL-certifikat.

Det er et nemt og yderst nødvendigt skridt i retning af en sikker hjemmeside. Med et SSL-certifikat sender du derudover et signal til dine kunder om, at du tager deres sikkerhed alvorligt.

Kort sagt er et SSL certifikat en sikkerhed for dine besøgende. Det sikrer, at data bliver krypteret, så det kun er dig og den besøgende, der udveksler data. Tredjepart kan med andre ord ikke kigge med over skulderen og snuppe de oplysninger, som de kunne være interesseret i.

Hold din side WordPress-side opdateret. I takt med at hackerne bliver dygtigere og dygtigere, opdages der hele tiden nye huller, hvor hackerne kan trænge ind. Derfor er det strengt nødvendigt at holde sin WordPress opdateret.

Når der kommer opdateringer fra WordPress, er det ofte et udtryk for, at sikkerheden er blevet endnu bedre, eller at funktionaliteten er blevet bedre. Der er med andre ord intet at miste ved opdatere sine sider. Derimod kan du gå glip af vigtige sikkerhedsopdateringer, hvis du forsømmer at holde dine sider opdateret.

Backup. I forbindelse med opdatering af enhver slags, er det altid en god ide at lave en backup. Det er din sikkerhed for, at din hjemmeside ikke pludselig forsvinder, hvis der skulle opstå en fejl i forbindelse med en opdatering.

Generelt er det en god ide at lave jævnlig backup af din side. På den måde kan du hurtigt genskabe siden i tilfælde af nedbrud på servere, konkurs hos hostingudbyderen eller i værste fald hackerangreb.

IP-filtre. For at gøre det så svært som muligt for hackere at komme ind i dine systemer, er det en god ide at få sat IP-filtre op. Filteret sikrer, at der kun er adgang til dine loginsider fra bestemt IP-adresser. Ved du eksempelvis, at du kun laver ændringer fra din arbejdsplads eller din privatadresse, giver det mening at udelukke alle andre IP-adresser fra at få adgang til din loginside.

På den måde undgår du, at hackere kan komme ind på dine sider, selv hvis de skulle have fundet frem til dit kodeord. Det tillader kun adgang fra de IP-adresser, som du har godkendt, og er derfor er effektivt våben mod hackerangreb.

2 faktor login. Hvis du har en virksomhed, hvor en masse forskellige mennesker har adgang til din loginside, kan det være en anelse besværligt at sikrer sig med et IP-filter. Derfor kan det give mening i stedet at lave en 2 faktor login.

Kort fortalt betyder det, at du skal logge ind to gange. Én gang med kode og brugernavn, og en gang med en ny kode, som du får tilsendt, eksempelvis via sms. Systemet kendes blandt andet fra NETS, der ofte sender en sms med en kode, når du handler over nettet. Det kan blandet andet gøres ved at bruge Google Authenticator til at generer koder.

På denne måde sikrer du, at der kun gives adgang til de personer, som har adgang til eksempelvis de telefoner, der modtager koden. Desuden er det en ny kode, der skal bruges hver gang, hvilket igen besværliggør hackernes arbejde betydeligt.  

Sikkerhed er stadig alfa omega

Sikkerhed er alfa omega

Vi ved, at det kan virke uoverskueligt med alle disse nye regler, men i bund og grund er der ikke store ændringer på vej. Det handler om, at din virksomhed skal have styr på sikkerheden, når det kommer til brugernes data.

Er du i tvivl om, hvorvidt din virksomhed har styr på lovgivningen, eller ønsker du hjælp til at sikrer din virksomhed mod ubudne gæster, så tøv ikke med at kontakte os.

 

Udfyld formularen

* = Obligatorisk felt