Hvordan kan vi sikre at data vi behandler er skikkelig sikret?

Din organisasjons handlingsplan for å sikre data vil avhenge av et vidt spenn av faktorer: for eksempel hvilke type data dere lagerer, hvor sensitive de er, hvor mye dere har, hvor kompleks deres digitale infrastruktur er, og hvorvidt dere har in-house digital sikkerhetskunnskap eller har valgt å outsource. Som et minimum bør dere ta følgende steg:

  • List opp hvilke personlige data dere besitter og klargjør hvor dere lagrer disse.
  • Gjør en risikovurdering og synliggjør de mest sannsynlige kildene til uatorisert tilgang/lekasjer.
  • Implementer en databeskyttelsesplan som underbygger deres risikovurdering, som inkluderer: data minimalisering (samle inn, behandle og lagre kun de data dere absolutt trenger); adagangskontroll (begrens hvem som har adgang til personlige data); lagringssikkerhet (hvor dere lagrer personlige og/eller sensitive data? Er det lagret separat fra ikke-personlig/ikke-sensitiv data? Er det lagret kryptert?); ansattes digitale hygiene; og datalagrings, arkiverings og slette erklæringer.
  • Test sikkerheten til alle systemer som lagrer personlige data (servere, epost, arkiver etc.)
  • Skriv ned alle handlinger dere foretar dere for å beskytte personlige data dere besitter.
  • Sett opp og test aksjonsplaner dere har for avvik, som skal inkludere roller og ansvarlige for rapportering til Datatilsynet ol.
  • Sett opp en plan for periodisk å gjennomgå disse stegene.