Denne vejledning uddyber kravene om risikostyring ved udbuddet af offentlige elektroniske kommunikationstjenester herunder NUIK-tjenester.
Læs vejledning om risikostyring her:
3. Kapitel: Eksempler på passende, tekniske og organisatoriske foranstaltninger
Version 1.0
Seneste opdatering 2. juni 2021
Du skal læse denne vejledning, hvis du vurderer, at det kan være relevant for dig at vide mere om reglerne om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor. Formålet med vejledningen er at beskrive og uddybe reglerne om risikostyring, herunder kravet om at træffe passende tekniske og organisatoriske foranstaltninger med henblik på at minimere risikoen for brud på persondatasikkerheden.
Reglerne om risikostyring følger af § 3 i persondatasikkerhedsbekendtgørelsen (bekendtgørelse nr. 1882 af 4. december 2020 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester og nummeruafhængige interpersonelle kommunikationstjenester).
Persondatasikkerhedsbekendtgørelsen er udstedt med hjemmel i § 8, stk. 1 i teleloven (lovbekendtgørelse nr. 128 af 7. februar 2014 om elektroniske kommunikationsnet og -tjenester senest ændret ved lov nr. 1833 af 8. december 2020). Reglerne har baggrund i e-databeskyttelsesdirektivet (direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor).
Definitionerne i persondatasikkerhedsbekendtgørelsen skal læses i sammenhæng med definitionerne i teleloven, e-databeskyttelsesdirektivet og teledirektivet (direktiv 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation).
Reglerne om risikostyring finder anvendelse for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og offentligt tilgængelige nummeruafhængige interpersonelle kommunikationstjenester (herefter elektroniske kommunikationstjenester).
Risikostyring er også relevant i forbindelse med telelovens § 7, som fastlægger krav til ejere af elektroniske kommunikationsnet og udbydere af elektroniske kommunikationsnet eller -tjenester om at træffe nødvendige foranstaltninger for at sikre, at oplysninger om andres brug af nettet, tjenesten eller indholdet heraf ikke er tilgængeligt for uvedkommende. For at kunne træffe sådanne foranstaltninger må de omtalte ejere og udbydere nødvendigvis have et overblik over risici i forbindelse med udbuddet af tjenesterne.
Det skal desuden bemærkes, at reglerne om sikkerhed i net og tjenester, som hører under Center for Cybersikkerheds ressort, ligeledes pålægger udbydere af en offentligt tilgængelige elektroniske kommunikationstjeneste at implementere passende foranstaltninger til sikring af tilgængelighed, autenticitet, integritet og fortrolighed i net og tjenester på baggrund af en risikovurdering. Foranstaltningerne, som skal gennemføres efter disse regler, vil i et vist omfang være sammenfaldende med de foranstaltninger, som skal træffes efter persondatasikkerhedsbekendtgørelsen. Ønskes der nærmere uddybning af disse regler henvises der til den generelle vejledning om databeskyttelse i den elektroniske kommunikationssektor.
Der henvises i øvrigt til den generelle vejledning om databeskyttelse i den elektroniske kommunikationssektor for nærmere oplysninger om de tjenester, der er omfattet af reglerne, om reglerne vedrørende tilsyn, klageadgang og sanktion samt yderligere oplysninger omkring samspillet mellem reglerne i teleloven, e-databeskyttelsesdirektivet og teledirektivet.
Herudover henvises til vejledning vedrørende håndtering af brud på persondatasikkerheden for en nærmere gennemgang af hvad der udgør et brud på persondatasikkerheden, og hvordan sådanne brud håndteres i forhold til underretning af myndighed og berørte.
For at en ejer og/eller udbyder kan træffe passende tekniske og organisatoriske foranstaltninger til at beskytte kundernes og brugernes persondata, er det nødvendigt, at de i første omgang kender risikobilledet i organisationen. Foranstaltningerne skal træffes med udgangspunkt i disse risici.
Ejere og udbyderne skal således regelmæssigt gennemgå forretningsgange, systemer, trusler samt allerede trufne foranstaltninger for at vurdere potentielle risici. Det er desuden vigtigt løbende at genbesøge risikobilledet for persondatasikkerheden - fx en gang om året.
En risikovurdering vil ofte se på virksomheden som helhed, og risici med relation til persondatasikkerheden vil være en delmængde af det samlede risikobillede.
For generel information og vejledning vedrørende risikostyring og risikovurderinger, henvises der til:
Dette afsnit vil uddybe, hvad en risikovurdering er, og hvad der menes med passende, tekniske og organisatoriske foranstaltninger med udgangspunkt i den elektroniske kommunikationssektor.
Overordnet set kan risikovurderingen inddeles i to trin:
1) Identificering af risici (se afsnit 2.1.1)
2) Vurderingen af risici (se afsnit 2.1.2), herunder
Der er forskellige måder, hvorpå man kan identificere risici i ens organisation. Dette kan eksempelvis ske i forbindelse med løbende observationer, eller man kan blive bekendt med risici pga. brud på persondatasikkerheden. Risici kan også blive identificeret i forbindelse med en regelmæssig gennemgang af forretningsgange, systemer, brugerrettigheder, trusler samt allerede truffet foranstaltninger.
For at identificere de risici, der eksisterer i organisationen, kan ejere og udbydere tage udgangspunkt i følgende forhold:
Eksempel – Metode for identifikation af risiko i organisationen
En udbyder har i sin afdeling for persondatasikkerhed nedsat en risikostyringsgruppe. Risikostyringsgruppens medlemmer består bl.a. af systemansvarlige, medlemmer fra ledelsen og medarbejdere med viden omkring reglerne om persondatasikkerhed. Denne gruppe mødes jævnligt for at identificere og vurdere de risici og sårbarheder, som findes i organisationen, herunder om der er opstået nye og ændrede risici. Derefter vurderer gruppen risikobilledet, herunder hvilke foranstaltninger der skal træffes for at fjerne eller minimere risici. Gruppen evaluerer også allerede iværksat foranstaltninger.
Ved at have en risikostyringsgruppe, med fokus på risikovurdering, minimerer udbyderen risikoen for brud på persondatasikkerheden. De hyppige møder i gruppen sikrer, at der er en hurtig reaktion på evt. sårbarheder i organisationen.
Vurderingen af risici kan også indeholde anbefalinger om, hvilke foranstaltninger der skal træffes for at fjerne sådanne risici.
Denne vurdering vil tage afsæt i:
Mulige konsekvenser for persondatasikkerheden (den potentielle skade)
Sandsynligheden for at den forventede risiko vil indtræffe
Eksempel – Vurderingsmetode
En udbyder opererer i flere forskellige systemer. Udbyderen vælger at bruge en vurderingsmodel, hvor der foretages en vurdering af alle systemerne, men vurderingen af systemerne ikke er ens. Eksempelvis vil systemer, som indeholder oplysninger om kunders betalingsoplysninger, gæld, navn og kontaktoplysninger gå igennem en mere udførlig vurdering indeholdende flere vurderingsparameter end systemer, der indeholder andre former for data om kunderne f.eks. systemer med udelukkende produktoplysninger.
På den måde fokuserer man på de systemer, hvor en potentiel skade ved brud på persondatasikkerheden er størst.
Når der er foretaget en risikovurdering, skal man finde ud af, hvordan risiciene skal håndteres. Det kan inddeles i yderligere tre trin:
Eksempel – Håndtering af en risiko
Risikostyringsgruppen hos en udbyder har identificeret en risiko for brud på persondata på udbyderens hjemmeside. Hjemmesiden indeholder en kontaktformular, hvor kunderne kan sende meddelelser, filer mv. - indeholdende persondata - til udbyderen. Dog sker dette ukrypteret, da hjemmesiden ikke er blevet krypteret. For at sikre, at en uautoriseret tredjemand ikke får adgang til kundernes persondata, beslutter risikostyringsgruppen, at udbyderens hjemmeside skal krypteres. Ved at kryptere hjemmesiden, minimeres risikoen for brud på persondatasikkerheden.
Det påhviler udbyderne løbende at træffe passende tekniske og organisatoriske foranstaltninger til at imødegå de risici, som eksisterer ved behandling af persondata i den elektroniske kommunikationssektor. Dette følger af § 3, stk. 1 i persondatasikkerhedsbekendtgørelsen.
For at ejere og udbydere kan overholde telelovens § 7 vedr. hemmeligholdelse af data, bør der også i denne henseende foretages risikovurderinger, for at kunne træffe nødvendige foranstaltninger.
En passende teknisk og organisatorisk foranstaltning skal være proportional i forhold til de risici, som den skal sikre imod under hensyntagen til den teknologiske udvikling.
Det er ikke et krav, at man har implementeret de nyeste og bedste sikkerhedsteknologier til beskyttelse af persondata, men man skal løbende evaluere og revurdere sine sikkerhedsforanstaltninger i takt med den teknologiske udvikling.
Det følger af § 3, stk. 2 i persondatasikkerhedsbekendtgørelsen, at de foranstaltninger, der skal træffes, som minimum skal
Hvis udbyderen leverer sin tjeneste via et underliggende elektronisk kommunikationsnet, så skal udbyderen af tjenesten samarbejde med den, der leverer det underliggende elektroniske kommunikationsnet (infrastrukturen), hvis dette er nødvendigt for at leve op til de forpligtelser, som følger af persondatasikkerhedsbekendtgørelsen.
Det er op til den enkelte udbyder at beslutte, hvordan man konkret vil indrette sig for at leve op til persondatasikkerhedsbekendtgørelsens krav. Den internationale standard ISO27001 om informationssikkerhed giver en generelt dækkende vejledning om etablering af såvel tekniske som organisatoriske sikkerhedsforanstaltninger, der også dækker det område, persondatasikkerhedsbekendtgørelsen regulerer. Det er ikke et krav, at man skal være certificeret efter ISO27001-standarden eller tilsvarende standarder, men det kan være en god idé at følge principperne i denne eller tilsvarende standarder for it-sikkerhed.
Dette afsnit indeholder en række eksempler på foranstaltninger, som kan minimere risikoen for, at der opstår et brud på persondatasikkerheden. Der er ikke tale om en udtømmende liste.
De oplysninger som behandles af eksempelvis udbydere af elektroniske kommunikationstjenester, er typisk burgernes og abonnenternes navn, adresse, telefonnummer (herunder om det er hemmeligt eller udeladt nummer), e-mailadresse, abonnementoplysninger, betalingsoplysninger, kundenummer eller kontonummer hos udbyderen. Brud på persondatasikkerheden opstår oftest ved eksponering af disse data. Dette sker f.eks. på grund af en manuel fejl, systemfejl, hacking, manglende adgangsstyring i systemer, manglende procedure for kundevalidering mv.
Det er et krav, at der udarbejdes en sikkerhedspolitik for persondatasikkerheden i forbindelse med udbud af elektroniske kommunikationstjenester (§ 3, stk. 2, nr. 3 i persondatasikkerhedsbekendtgørelsen).
I sikkerhedspolitikken er det vigtigt, at der er vedtaget en procedure for, hvordan brud på persondatasikkerheden skal håndteres, og at medarbejderne er bekendt med denne. Det skyldes, at det er nødvendigt at reagere hurtigt på hændelser om brud på persondatasikkerheden i hele organisationen samt hos eksterne databehandlere, så brud på persondatasikkerheden kan blive identificeret hurtigt, stoppet og indberettet til Digitaliseringsstyrelsen.
Eksempel – Sikkerhedspolitik med procedure ved brud på persondatasikkerheden
For at sikre at medarbejderne er bekendt med, hvornår der er tale om et brud på persondatasikkerheden, og hvordan sådanne brud stoppes samt undgås, har en udbyder udarbejdet sikkerhedspolitikker, som uddyber og forklarer dette. Sikkerhedspolitikken indeholder også en guide til hvordan et brud på persondatasikkerheden stoppes, og hvilke foranstaltninger man kan træffe for at minimere skaden ved et brud. Derudover fastlægger politikken, at der skal være et hurtigt beredskab i organisationen, så brud på persondatasikkerheden bliver indberettet til Digitaliseringsstyrelsen inden for 24 timer. Sikkerhedspolitikken nævner også hvilken person og chef i organisationen som er ansvarlig for sager om brud på persondatasikkerheden, og har den nødvendige autoritet og de nødvendige ressourcer til at løfte opgaven.
Eksempel – Sikkerhedspolitikker i forhold til systemer
En udbyder har grundet stigende antal brud på persondatasikkerheden, som skyldes systemfejl, besluttet at indføre nye sikkerhedspolitikker omkring anvendelsen af udbyderens it-systemer. Disse sikkerhedspolitikker beskriver, hvilke test og review systemerne – indeholdende persondata vedrørende kunder – skal gennemføre forud for en release. Desuden beskriver sikkerhedspolitikken bl.a. at der skal gennemføres test ved systemopdatering, systemændringer samt lancering af helt nye systemer.
Mange manuelle fejl skyldes en kombination af menneskelige fejl og manglende procedurer for, hvordan medarbejdere skal behandle persondata. Årsagen til de manuelle fejl kan ligeledes skyldes, at medarbejdere ikke har tilstrækkeligt kendskab til organisationens procedure for behandling af persondata.
Det er derfor vigtigt, at der er et stort fokus på interne procedurer for behandling af persondata. Derfor bør der være fokus på løbende evaluering, herunder læring fra tidligere brud som tidligere nævnt.
Eksempel – Retningslinjer, hvor kunden selv skal ændre persondata via udbyderens selvbetjeningsløsning
For at minimere antallet af manuelle fejl har en udbyder besluttet, at kundeservicemedarbejderne som udgangspunkt skal undlade at tilføje og rette i kunders persondata i systemet. I stedet er retningslinjerne blevet ændret så kunderne fremadrettet opfordres eller guides til at anvende selvbetjeningsløsninger, hvor kunden selv indtaster sine data. Det er kun ved særlige omstændigheder, at medarbejderne kan indtaste kunders persondata. Derved minimeres risikoen for, at kundeservicemedarbejderne fejltaster kunders data.
Eksempel – Minimering af antallet af systemer
En udbyder oplever, at der er et stigende antal manuelle fejl i kundeserviceafdelingen. Der er en tendens til, at kundeservicemedarbejdere kommer til at sammenblande kunders persondata. På baggrund af en grundig undersøgelse kan det konstateres, at disse fejl sker, fordi kundeservicemedarbejderne efter endt samtale med en tidligere kunde ikke lukker systemvinduet med kundens persondata, før medarbejderne begynder at betjene en ny kunde.
Disse manuelle fejl skyldes også, at medarbejderne arbejder i flere forskellige systemer.
For at nedbringe antallet af manuelle fejl vælger udbyderen derfor at integrere systemerne, så kundeservicemedarbejderne ikke skal navigere i flere systemer på en gang, men i stedet kan fokusere på at bruge ét system. Derudover indeholder systemet en funktion, som gør, at medarbejderen får et pop-up-vindue med en advarsel, hvis medarbejderen har flere vinduer åbne vedrørende forskellige kunder.
Eksempel 3 – Uddannelse af medarbejderne og øget medarbejderawareness
For at sikre, at medarbejderne hos udbyderen er opmærksomme på risikoen for misbrug af kunders persondata, og at medarbejderne ved, hvordan brud forhindres, har udbyderen besluttet at ændre sikkerhedspolitikken så medarbejderne to gange årligt har pligt til at gennemføre kursus/uddannelse vedrørende brud på persondatasikkerheden. Derudover, bliver der fremadrettet afholdt oplæg på afdelingsmøderne omkring dette emne. På den måde vil medarbejderne løbende få relevant instruktion og uddannelse. Dette kan fx være oplysninger om, at medarbejderne altid skal overveje, hvilke persondata, der er nødvendige at have med, når der skal skrives til kunderne eller at undlade anvendelsen af post-its (både fysiske og virtuelle), idet post-its ofte fører til, at data noteres på forkerte kundeforhold.
Det er vigtigt, at medarbejderne er opmærksomme på, hvem de videregiver persondata til, og at det reelt er den person, som persondata vedrører, at oplysningerne bliver videregivet til. Hvis persondata videregives til tredjepart, er det vigtigt, at medarbejderen har sikret, at den person som persondata omhandler, har givet sit samtykke til dette, da det ellers er et brud på persondatasikkerheden. Det kan gøres ved gennemførelse af forskellige procedurer.
Eksempel – Kundevalidering
Der er hos en udbyder set et stigende antal af sager, hvor personer udgiver sig for at være kunder hos udbyderen. På baggrund af dette har udbyderen indført et krav om, at der altid skal foretages kundevalidering, så det sikres, at kundedata ikke videregives til tredjepart. Udbyderen ændrer derfor sikkerhedspolitikken, og ændringen indebærer, at medarbejderne har pligt til at bede om kundenummer eller cpr og stille tjekspørgsmål, til den person, der ringer til kundeservice, inden medarbejderen betjener vedkommende. Derved sikres det, at det reelt er kunden, som medarbejderen snakker med. Ændringen indebærer også, at der skal indhentes samtykke fra kunden, når tredjepart ringer på vegne af en kunde.
Eksempel – Proces for kundevalidering
En udbyder oplever, at der er en stigende tendens, hvor kundeservicemedarbejdere først senere i samtalen med en kunde foretager kundevalideringen. Dette indebærer en stor risiko for at persondata om kunder videregives til tredjepart. Udbyderen fastslår derfor i sin politik, at kundevalidering skal ske tidligt i samtalen og inden personoplysninger videregives.
Det er vigtigt, at udbyderen har den fornødne adgangsstyring til systemerne, og derved sikrer, at kun relevante medarbejdere har adgang til systemerne. Der bør kun gives adgang til systemerne for de medarbejdere, som beskæftiger sig med opgaver, hvor det er nødvendigt at have adgang til de pågældende persondata.
Desuden skal det sikres, at kun personer, der er godkendt til systemet, kan tilgå, ændre, videregive og slette persondata, samt at de personer, der er godkendt, kun kan handle indenfor rammerne af deres godkendelse.
Udbyderne bør derfor fastlægge en procedure for godkendelser af adgang til systemer indeholdende persondata, så det fx er klart, hvem der har ansvaret for godkendelser, hvem der kan godkendes til hvad, hvordan det sikres, at kun personer, der er godkendt, kan få adgang til persondata. Desuden bør der også fastlægges en procedure for, hvornår og hvordan godkendelser tilbagekaldes, herunder at godkendelser inddrages, når den pågældende medarbejder ikke længere har behov for at kunne få adgang til de omhandlede persondata.
Det kan også være nødvendigt at anvende principperne for godkendelse over for personer, der midlertidigt skal have adgang til persondata – fx i forbindelse med teknisk vedligeholdelse, driftsovervågning og fejlretning. I så fald er det vigtigt at sørge for, at der kun gives godkendelse til de formål og den tid, der er nødvendig.
Eksempel – Intern adgangsstyring af systemer
En udbyder vil gerne sikre en bedre adgangsstyring af sine systemer ved at sørge for, at medarbejderne ikke har adgang til alle systemer. Tidligere havde kundeservicemedarbejderne adgang til både kundesystemet og udbyderens bogholderisystem. Udbyderen ændrer dette til, at kundeservicemedarbejderne alene kan tilgå kundesystemet, idet kundeservice ikke bistår kunderne med hjælp til betaling, regninger mv. og derfor ikke har behov for bogholderisystemet. For at udbyderen kan kontrollere, hvem der tilgår data i systemerne, indføres der nu logs over aktiviteter i alle systemer. Desuden har udbyderen indført en teknisk adgangskontrol til de relevante adgangssystemer, så medarbejdere, der er godkendt, skal identificere sig overfor systemet for at få adgang (fx via brugernavn og password). Ydermere skal adgangskoder til systemerne ændres hvert kvartal.
Det er vigtigt, at it-supportere og systemteknikere har en forståelse for beskyttelse af persondata, så der f.eks. ved migreringer af data til nye it-systemer er fokus på håndteringen af persondata og beskyttelsen heraf. På den måde undgås, at persondata ikke overføres korrekt fx på grund af fejl i indstillinger, design, kode eller kompatibilitet.
Overordnet set bør virksomhederne implementere processer, der har fokus på databeskyttelse i hele udviklings- og testforløbet, både ved migrering af systemer og ved udvikling af nye systemer.
Eksempel – Processer ved opdatering migrering eller udvikling af nye systemer
En udbyder har tidligere oplevet, at der ved en migrering af to systemer, skete en systemfejl som medførte, at kundernes persondata blev blandet sammen. Dette betød, at beskeder og mails fra udbyderen til kunden blev sendt til forkerte kunder. Denne fejl kunne være undgået, hvis der var blevet foretaget test og review af systemet. På den baggrund beslutter udbyderen, at der fremadrettet skal gennemføres grundige test i forbindelse med ændringer i it-systemer og migrering af data forud for lanceringen af systemændringer, så brud på persondatasikkerheden kan undgås.
Flere virksomheder udsættes for forskellige former for it-kriminalitet, som medfører, at tredjeparter opnår uautoriseret adgang til oplysninger om kunder og brugers persondata. Det er eksempelvis hackerangreb, phishing eller ransomware angreb.
De it-kriminelle gør dette for bl.a. at stjæle data, afpresse virksomheden økonomisk mv. Virksomhederne bør have de nødvendige foranstaltninger til at beskytte sig mod sådanne angreb, og dermed beskytte deres kunders persondata.
Eksempel – Adgangskoder
Et kundesystem er blevet udsat for et hackerangreb, som opstod da en medarbejder med adgang til systemet havde anvendt et svagt password. Angrebet medførte, at oplysningerne i systemet blev slettet. På baggrund af denne hændelse er der blevet indført tekniske foranstaltninger som skal sikre, at kun adgangskoder som er unikke, lange, og indeholder både tal, små bogstaver, store bogstaver samt tegn kan oprettes. Desuden føres der nu back-up (sikkerhedskopieringer) af systemerne efter nærmere fastlagte rutiner. På den måde kan data genskabes, hvis det fortabes, ændres eller ødelægges.
Eksempel – Hjemmearbejdspladser
De ansatte hos udbyderen arbejder hjemme og for at sikre arbejdscomputerne ikke er sårbar for hackerangreb indføres der krav om, at medarbejderne skal være tilsluttet en aktiv VPN-adresse, når de bruger systemer indeholdende kundedata.
Eksempel – Beskyttelse af kunders brugeroplysninger
For at beskytte kundernes brugeroplysninger (koder, brugernavn, e-mailadresse mv.) indfører udbyderen 2-faktor godkendelse i forbindelse med, at kunderne skal tilgå udbyderens selvbetjeningsløsninger. Derudover har udbyderen sikret, at kundernes koder krypteres.