Cybertruslen mod Danmark er ikke blevet mindre – og truslen mod myndigheder, virksomheder og borgere i Danmark er fortsat “meget høj”, vurderer Center for Cybersikkerhed. Truslen udmønter sig i daglige angreb, og gennem de seneste år har angreb mod større danske virksomheder vist, hvor ødelæggende de er. Angrebene resulterer ofte i brud på persondatasikkerheden, hvorfor GDPR kommer i spil.
En undersøgelse fra PwC fra 2022 viser, at hver tredje sikkerhedshændelse omfatter personoplysninger – og dermed også udgør et brud på persondatasikkerheden. Samtidig angav mere end halvdelen af de adspurgte, at faren for, at uvedkommende får adgang til personoplysninger, er blandt de største bekymringer i relation til en cyberhændelse.
Sikkerhedskrav i GDPR
GDPR stiller krav om, at organisationer implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger. Første skridt i dette arbejde er, at organisationen får kortlagt, hvor der behandles personoplysninger (art. 30-fortegnelse), og på den baggrund udarbejder risikovurderinger og risikohåndtering, som enten implementeres i organisationen eller stilles som krav til leverandører – fx gennem data- og underdatabehandleraftaler. Langt de fleste organisationer har allerede foretaget it-risikovurderinger af systemer, men GDPR forudsætter, at organisationer også foretager personrisikovurderinger, hvor risikoen for de registrerede er i fokus. It- og personrisikovurderinger kan med fordel kobles sammen.
Med beskyttelse af data og systemer skal der etableres tilstrækkelig fortrolighed, integritet og robusthed, og status skal monitoreres og regelmæssigt testes.
Ved implementering af passende sikkerhedsforanstaltninger og kontroller forebygges brud på persondatasikkerheden.
GDPR-konsekvenser ved et cyberangreb
De cyberangreb, der er blevet konstateret i den seneste tid, har bl.a.været ransomware-angreb, hvor organisationer bliver angrebet, og data og systemer bliver krypteret - og hvor der efterfølgende typisk kræves løsesum for at dekryptere data. Denne situation kan være meget kritisk for organisationer, som ikke har etableret backup af data. Situationen forværres, hvis ransomware-angrebet også omfatter personoplysninger, og angriberne truer med at offentliggøre personoplysningerne. I så fald vil organisationens personoplysninger kunne genskabes fra backup, men truslen om offentliggørelse af personoplysninger får flere til at betale løsesummen.
I langt de fleste tilfælde vil der være tale om brud på persondatasikkerheden, medmindre man med teknisk og troværdig dokumentation kan påvise, at der ikke har været adgang til personoplysninger. Et sådan brud skal anmeldes til Datatilsynet, og i mange tilfælde skal de registrerede ligeledes underrettes.
Håndtering af brud på persondatasikkerheden kræver – udover mulig anmeldelse til Datatilsynet og underretning af de registrerede – at organisationen teknisk er i stand til at stoppe hændelsen og efterforske årsagen til bruddet. Anmeldelse og underretning forudsætter, at organisationen har overblik over, hvilke personoplysninger der behandles i organisationen, i hvilke processer og systemer og for hvilke personer (registrerede).
Organisationen skal samtidig være i stand til at have dialog med Datatilsynet, i det omfang tilsynet måtte have supplerende spørgsmål til organisationens anmeldelse af bruddet. Herudover skal organisationen indføre passende sikkerhedsforanstaltninger, som forebygger lignende hændelser i fremtiden.
PwC anbefaler
PwC anbefaler, at organisationen opdaterer datakortlægningen, som er en grundlæggende forudsætning for efterlevelse af GDPR og udarbejdelse af artikel 30-fortegnelser. Derefter anbefaler PwC at gennemføre risikovurderinger, så trusler og sårbarheder identificeres og eventuelt håndteres. Det er vigtigt, at vurderingerne opdateres løbende, da trusselsbilledet kan ændre sig.
Manglende overblik og kortlægning af personoplysninger kan være omkostningsfuldt, da dette vil kunne medføre, at organisationen hverken kan håndtere et brud på persondatasikkerheden, foretage underretning af registrerede eller forebygge lignende hændelser fremover.
PwC anbefaler derudover, at der udarbejdes forhåndsvurderinger af kendte sikkerhedshændelser i organisationer, så der foreligger en foreløbig vurdering, når uheldet er ude. Endelig bør der etableres en forretningsgang, der testes, så organisationen har trænet processen med anmeldelse og underretning. I forbindelse med testen af forretningsgangen er det også vigtigt at inddrage ledelsen i principielle beslutninger. Herunder hvordan organisationen vil forholde sig til betaling af løsesum i tilfælde af ransomware, og kommunikation til eksterne parter, fx aktionærer, journalister og offentlige myndigheder.
Hvordan kan vi hjælpe dig?
Har du brug for hjælp, er du velkommen til at kontakte PwC’s Technology & Security-afdeling.
PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – både juridisk, forretningsmæssig og teknisk.
Related Content
Følg PwC
