GDPR og kryptering
GDPR definerer personoplysninger. Disse omfatter navne og efternavne, fotografier, e-mailadresser, telefonnumre, kontonumre, fingeraftryk og stemmer. Denne forordning, som har været i kraft i alle EU's medlemsstater siden 25. maj 2018, beskriver kryptering som en beskyttelse mod omdømmerisiko.
Forestil dig, at en af dine medarbejdere mister en USB-nøgle, der indeholder en liste over dine kunder. Ifølge GDPR skal du informere alle personer på listen om hændelsen. De kan opfatte bruddet som en grund til at skifte leverandør. Forpligtelsen til at underrette disse personer gælder dog ikke, hvis deres personoplysninger er blevet krypteret.
Ved du, hvad du skal gøre, hvis din virksomhed har lækket personlige oplysninger?
Forpligtelse til at underrette tilsynsmyndigheden:
Du skal indberette ethvert brud på persondatasikkerheden til den relevante databeskyttelsesmyndighed. Denne forpligtelse gælder ikke kun for større hændelser, såsom store databaselæk, men også for mindre fejl. Hvis du for eksempel blander indholdet af konvolutter, der er beregnet til to forskellige modtagere, fejlagtigt, skal du rapportere det.
72 timer
Du skal underrette den relevante tilsynsmyndighed om hændelsen inden for 72 timer fra det øjeblik du bliver opmærksom på den, altså ikke fra det øjeblik hændelsen opstod. Hvis denne frist imidlertid ikke overholdes, skal forsinkelsen i meddelelsen (dvs. grundene til, at overtrædelsen ikke blev rapporteret inden for 72 timer) være berettiget.
Forpligtelse til at underrette berørte personer
I mere alvorlige tilfælde, bortset fra at underrette databeskyttelsesmyndigheden, skal du også informere de personer, hvis data er blevet påvirket af hændelsen. Dette trin er imidlertid ikke påkrævet, hvis hændelsen opstod, efter at din virksomhed havde implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger, især dem, der gør personoplysninger uforståelige for enhver person, der er uautoriseret til at få adgang til dem. Det temmelig komplicerede juridiske udtryk "tekniske foranstaltninger" refererer til kryptering.
Mulige bøder i forbindelse med GDPR
Manglende overholdelse af forpligtelsen til at indberette et databrud til den relevante tilsynsmyndighed kan straffes med en bøde på op til € 10 mio. eller, i tilfælde af at en virksomhed, op til maksimalt 2 % af dets årlige verdensomspændende omsætning fra det foregående regnskabsår. Ud over en streng økonomisk straf kan databeskyttelsesmyndigheden også vedtage følgende:
- en midlertidig eller endelig begrænsning, herunder et forbud mod behandling af personoplysninger
- sletning af personoplysninger
Dette indebærer, at du enten kan miste alle kontakterne til dine eksisterende kunder, eller din virksomhed kan midlertidigt blive forbudt at opbevare sådanne data.
Brud på datasikkerheden påvirker virksomheder i alle størrelser
Mange virksomheder mener ikke, at de er sårbare over for cyberangreb eller brud på datasikkerheden på grund af deres lille størrelse og begrænsede aktiver. Desværre er dette ikke tilfældet: ifølge analysebureauet IDC er små og mellemstore virksomheder ofre for mere end 70 procent af sikkerhedsbrud. Men den gode nyhed er, at virksomheder ikke behøver at rapportere cyberangreb, medmindre personoplysninger er kompromitteret eller lækket.
På grund af det falske indtryk, at andre virksomheder ikke står over for cyberangreb, kan virksomhederne føle skam eller frygte negativ opmærksomhed, hvis de rapporterer et angreb.
ESET har bemærket, at tilsynsmyndighederne i Europa stadig var ved at gøre sig fortrolig med de nye regler, det første år efter at GDPR trådte i kraft. Det er sandsynligt, at de nu vil pålægge flere bøder.
Erfaringen viser imidlertid, at hvis de berørte virksomheder samarbejder, har de en tendens til at modtage lavere straffe. Det fremgår også, at hvis din virksomhed ikke er en internet-gigant, er det usandsynligt, at du få en både på maksimalt niveau.
Vi anbefaler derfor, at organisationer altid overholder underretningspligten, samarbejder med tilsynsmyndighederne og uddanner deres medarbejdere om, hvad personoplysninger er, og hvordan de skal beskyttes.
ESET krypteringsløsninger
ESET Endpoint
kryptering
ESET Endpoint Encryption beskytter følsomme data på virksomhedsenheder ved hjælp af kryptering. Den krypterer filer og mapper, e-mails og vedhæftede filer, flytbare medier, virtuelle diske samt hele disken. Den er nem at bruge, tilbyder fuld fjernadministration af krypteringsnøgler og kræver ingen server til installation. Få en 30-dages gratis prøveversion, og prøv ESET Endpoint Encryption i din virksomhed.