GDPR og kryptering
GDPR gir en definisjon av personopplysninger. Begrepet inkluderer navn og etternavn, fotografier, e-postadresser, telefonnumre, kontonumre, fingeravtrykk og stemmeopptak. Denne forordningen, som har gjeldt for alle EUs medlemsland siden 25. mai 2018, beskriver kryptering som en sikring mot skade på omdømme.
Tenk deg at en av dine ansatte mister en USB-nøkkel som inneholder en liste over kundene dine. I henhold til GDPR, må du informere alle personene på listen om denne hendelsen. De kan synes at bruddet på datasikkerheten er en grunn til å bytte leverandør. Plikten til å varsle disse personene gjelder imidlertid ikke hvis deres personopplysninger er krypterte.
Vet du hva du skal gjøre hvis bedriften din har lekket personopplysninger?
Plikt til å varsle tilsynsmyndigheten:
Du må rapportere sikkerhetsbrudd for personopplysninger til den relevante personvernmyndigheten. Denne forpliktelsen gjelder ikke bare for betydelige problemer, for eksempel store databaselekkasjer, men også for mindre feil. Hvis du for eksempel ved en feil bytter innholdet i konvolutter som var ment for to forskjellige mottakere, må du rapportere det.
72 timer
Du må varsle den relevante tilsynsmyndigheten om hendelsen innen 72 timer fra når du blir oppmerksom på den, altså ikke fra da hendelsen skjedde. Men hvis denne fristen ikke er overholdes, må forsinkelsen i varslingen (dvs. årsakene til at bruddet ikke ble rapportert innen 72 timer) være berettiget.
Plikt til å varsle berørte personer
I mer alvorlige tilfeller, må du i tillegg til å varsle personvernmyndigheten også informere personene hvis data er berørte av hendelsen. Dette steget er imidlertid ikke nødvendig hvis hendelsen oppstod etter at firmaet hadde implementert egnede tekniske og organisatoriske sikkerhetstiltak, spesielt tiltak som gjør personopplysningene uforståelige for alle som ikke er autoriserte for tilgang til dem. Det ganske kompliserte juridiske begrepet «tekniske tiltak» refererer til kryptering.
Mulige bøter i forbindelse med EUs personvernforordning (GDPR)
Unnlatelse av å oppfylle forpliktelsen om å rapportere brudd på datasikkerhet til den relevante tilsynsmyndigheten kan straffes med en bot på opptil 10 millioner euro eller, når det dreier seg om et selskap, på opptil maksimalt 2 % av det årlige omsetningen for hele verden fra forrige regnskapsår. I tillegg til denne høye økonomiske straffen kan personvernmyndigheten også pålegge følgende:
- midlertidige eller permanente begrensninger, inkludert forbud mot behandling av personopplysninger
- sletting av personopplysninger
Dette betyr at du enten kan miste alle kontaktinformasjonen for eksisterende kunder, eller at bedriften din kan bli midlertidig utestengt fra å lagre slike data.
Brudd på datasikkerheten påvirker bedrifter i alle størrelser
Mange bedrifter mener at de ikke er sårbare overfor cyberangrep eller brudd på datasikkerheten på grunn av at de er små og har begrensede verdier. Dessverre er ikke dette tilfelle: I henhold til analytikere i IDC, er små og mellomstore bedrifter ofre for mer enn 70 prosent av alle sikkerhetsbrudd. Men den gode nyheten er at selskaper ikke trenger å rapportere cyberangrep med mindre personopplysninger har blitt kompromittert eller lekket.
På grunn av det falske inntrykket av at andre bedrifter ikke er ofre for cyberangrep, kan selskaper skamme seg eller frykte at de får negativ oppmerksomhet hvis de rapporterer et angrep.
ESET har observert at tilsynsmyndighetene i Europa brukte det første året etter at EUs personvernforordning (GDPR) trådte i kraft til å bli kjent med de nye reglene. Det er sannsynlig at de nå vil utstede flere bøter.
Imidlertid viser erfaringen at hvis de berørte selskapene samarbeider, pleier de få lavere straffer. Ting tyder også på at hvis din bedrift ikke er en internettgigant, er det lite sannsynlig at du får bøter på maksimalbeløpet.
Vi anbefaler derfor at organisasjoner alltid overholder varslingsplikten, samarbeider med tilsynsmyndighetene og informerer sine ansatte om hva personopplysninger er og hvordan de skal beskyttes.
ESETs krypteringsløsninger
ESET Endpoint
Encryption
ESET Endpoint Encryption beskytter sensitive opplysninger på bedriftsenheter ved hjelp av kryptering. Den krypterer filer og mapper, e-poster og vedlegg, mobile lagringsenheter og virtuelle disker så vel som hele disken. Det er enkelt å bruke, tilbyr full fjernkontroll av krypteringsnøkler og krever ingen server for distribusjon. Få en 30 dagers gratis prøveversjon og prøv ESET Endpoint Encryption i bedriften din.