Gå til ecit.dk
Gå til forsiden for blog

Kryptér dig til datasikkerhed

Skrevet av Rasmus Veidriksen
Jan 1, 2019, 12:54:00 PM

GDPR flyttede ind i vores (virtuelle) stuer i 2018, da den nye persondataforordning trådte i kraft i slutningen af maj og fyldte vores indbakke med dynger af informationer og samtykkeerklæringer.

Det viser sig nu, at det ikke er sidste gang, at grebet strammes om danske virksomheder. Den 1. januar skal både fagforeninger, busselskaber, fysioterapeuter og den lokale snedker-virksomhed kryptere e-mails med følsomme personoplysninger.

Din virksomhed har også personfølsomme data

Mange virksomheder tror ikke, at de er i besiddelse af personfølsomme data. Det drejer sig især ofte om mindre virksomheder, hvis kundegrundlag måske er meget lokalt eller indsnævret. Fakta er dog, at langt de fleste virksomheder i Danmark har disse data. Personfølsomme data kan som udgangspunkt være svære at definere fuldstændig, og mange data kan befinde sig i en gråzone mellem det følsomme og ufølsomme. Hvis man er i tvivl, kan man som guideline bruge Datatilsynets guide til personfølsomme data som pejlemærke. De klassificerer personfølsomme data som:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

Det er ikke mange virksomheder, der i realiteten kan undsige sig at være i besiddelse af - i hvert fald nogle af - ovenstående oplysninger på deres kunder.

 

Eksempler på personfølsomme data

Et ganske almindeligt hverdags-scenarie indeholder flere personfølsomme data, end vi lige går og tror: Fra din fysioterapeuts liste over personer, som skal masseres i næste uge, til din seneste mail-henvendelse. Ligesom, den jobansøgning du modtog i sidste uge fra en lovende kandidat, eller den meget personlige samtale som selvsamme kandidat bookede over mail ved hans fagforening i sidste uge, indeholder det.

Alle disse scenarier involverer - selvom de umiddelbart ser harmløse ud - et væld af data, som nemt kan blive misbrugt i de forkerte hænder. Får en hacker fat i din medarbejders CPR-nummer, er der pludselig ikke langt fra tanke til videresalg af disse oplysninger til konkurrenter eller lignende.

Derfor er det faktisk ikke en dårlig idé at kryptere dine e-mails. Selvom det i første omgang kan virke som noget, vi igen bliver påduttet af datatilsynet, så kan det faktisk gavne din virksomhed at kryptere på flere niveauer. Det sikrer nemlig ikke bare dine kunders og dine egne data. Det sender også et signal om, at du er en virksomhed, som man kan stole på.

 

Sådan sikrer du god kryptering af dine e-mails

De forholdsregler, som du skal tage afhænger meget af den situation, som lige netop din virksomhed står i. Først og fremmest skal du vurdere, hvor følsom den data, som din virksomhed ligger inde med, er (eventuelt ved hjælpe af Datatilsynets guidelines).

Det mest basale og lovmæssige krav, du skal opfylde kan løses ved hjælp af TLS kryptering, hvilket som minimum skal være TLS 1.2. Her er det vigtigt også at tage et kig på din mail-servers opsætning og sørge for, at denne version bruges under hele kommunikationsprocessen - ellers kan krypteringen risikere at blive nedgraderet.

Men vi oplever ofte, at TLS langt fra er nok. Der er nemlig ingen fuldstændig garanti for sikkerhed, og hvis man for eksempel sender fortrolige oplysninger eller specielle kategorier af data, så skal tages stærkere midler i brug.

LÆS MERE: Gode rutiner for GDPR og IT-sikkerhed 

 

ECIT Drive - en komplet løsning til sikker e-mail

Som et bedre alternativ til simpel TLS og lignende har vi udviklet ECIT Drive. ECIT Drive er en sikker totalløsning i forhold til online fildeling i virksomheder, hvor der tages højde for professionel og fortrolig opbevaring af data. Samtidig er der taget højde for brugervenligheden.

Nu hvor alle virksomheder, store som små, skal sørge for kryptering, skal den platform, som benyttes også være nem og overskuelig. Det betyder, at ECIT drive indeholder nem integration med eksisterende IT-løsninger, fuld kontrol og et simpelt overblik over dine alle data. Du har tilmed mulighed for at styre, hvem i virksomheden der har adgang til hvad.

 

Intet er så skidt, at det ikke er godt for noget

Datatilsynets lovkrav er her for at sikre vores alles sikkerhed. I takt med, at hackere bliver mere og mere kreative og angreb bliver mere og mere komplicerede, er vi nødt til at følge med og tage vores forholdsregler. Det nye krav om, at private virksomheder nu skal kryptere e-mails med følsomme personoplysninger på lige fod med det offentlige pr. 1. januar, er alt andet end en sur pligt. Det er en kærkommen tilføjelse i ønsket om større sikkerhed og beskyttelse af vores alles oplysninger, så vi fortsat kan færdes sikkert i den digitale verden.

Vil du have hjælp til datasikkerhed? Kontakt os her 

Temaer:

Rasmus Veidriksen

IT-sikkerhedskonsulent

Læs flere indlæg fra Rasmus Veidriksen

Kontakt