Opbevaring af kundedata – sikkert og lovligt 4 min.

I oktober 2015 blev den internationale ”Safe Harbour” aftale omstødt af EU-domstolen, hvilket i praksis betød at man ikke længere måtte opbevare medarbejder- og kundedata på amerikanske cloudtjenester som f.eks. Google Drev og Dropbox. Det medførte et øget fokus på opbevaring af kundedata og sikkerhed. Mange er dog stadig ikke klar over præcis hvad de skal gøre, og ny lovgivning er også kommet til siden da. Få her et overblik over de vigtigste regler og principper du bør følge ved opbevaring af kundedata.

EU-U.S. Privacy Shield – Den nye persondata aftale

Den 8. Juli 2016 blev den nye EU-U.S. Privacy Shield lovgivning vedtaget, og trådte i kraft d. 12. Juli 2016. Den betragtes som afløseren til den gamle Safe Harbour aftale, og er et framework for udveksling af personlig data til kommercielle formål mellem EU-lande og USA, men med strammere krav end den tidligere ordning. Det betyder at amerikanske virksomheder der lever op til, og er certificeret til frameworket gerne må opbevare kundedata for danske virksomheder. For at kunne det, skal den amerikanske virksomhed bl.a. leve op til:

• Stærke datasikkerhedsforpligtelser for amerikanske virksomheder, der håndterer oplysninger for virksomheder i EU.

• Klare beskyttelses- og gennemsigtighedskrav for den amerikanske stats adgang til data.

• Effektiv beskyttelse af individuelle rettigheder. Enhver borger, der mener, at vedkommendes personoplysninger er blevet misbrugt under værnet om privatlivets fred, har adgang til flere økonomisk overkommelige tvistbilæggelsesmekanismer. Ideelt set afgøres klagen af virksomheden selv, eller også tilbydes der gratis muligheder for udenretslig tvistbilæggelse.

• Årlig fælles evalueringsmekanisme. Ved hjælp af mekanismen vil der blive ført tilsyn med, hvordan værnet om privatlivets fred fungerer.

Samtidig er der etableret en amerikansk persondataombudsmand, der er uafhængig af den amerikanske stat og efterretningstjenester.

Hvilke tjenester må du bruge til opbevaring af kundedata?

Privacy Shield frameworket betyder at du nu igen helt inden for loven kan bruge nogle af de store gratis/billige cloudtjenester til opbevaring af kundedata, da mange større virksomheder allerede har opnået certificering.

Både Dropbox og Google Drev kan igen bruges til sikker opbevaring af kundedata.

Er der en amerikansk tjeneste/virksomhed du er i tvivl om du hvorvidt du må bruge, kan du søge i databasen over certificerede virksomheder på privacyshield.gov.

Hvilke forholdsregler bør du selv tage?

Selv om man bruger tjenester der lever op til alle regler og lovgivninger, er det kun så sikkert som de sikkerhedsprotokoller man selv følger. Her er nogle af de forholdsregler du altid bør følge i forbindelse med opbevaring af kundedata:

• Brug kun sikre passwords: Du har helt sikkert hørt det før, men det er super vigtigt. Selv de sikreste tjenester bliver sårbare, hvis dit password er svagt. Man kan med fordel bruge en password generator hvis ikke man selv kan generere et tilstrækkeligt komplekst password.

• Brug tjenester med minimum to-trins-verifikation: Hvis nogen alligevel får adgang til dit password, vil de stadig ikke kunne logge ind på din konto, hvis du bruger to-trins-verifikation eller højere. Rent praktisk betyder det at man udover et password skal bruge en kode der f.eks. sendes til din telefon eller e-mail, for at kunne logge ind. Langt de fleste seriøse tjenester bruger to-trins-verifikation.

• Sørg for det kun er relevante medarbejdere der har adgang til kundedata.

• Krypter data, som en ekstra sikkerhedsforanstaltning: Skulle uvedkommende trods disse foranstaltninger alligevel få adgang, vil de ikke kunne din data til noget hvis den er ordentlig krypteret. Se også vores tidligere blogindlæg om kryptering.

• Opbevaring af kundedata ifm. Website/webshop: Undersøg sikkerheden hos udbyderen af dit webhotel. Står det ikke på deres hjemmeside (det bør det hos de seriøse udbydere), skal du henvende dig via mail så du skriftligt kan få en udspecificering. Det er også en god idé at have website og database på hver sin server.

Der er mange andre forholdsregler man kan foretage men disse anser vi som de vigtigste. Men det er altid en god idé at lave en sikkerhedspolitik, så bliver man også mere bevidst og fokuseret på sikkerheden.

Sikkerhedstjekket

Er du i tvivl om hvordan din virksomheds styrker og svagheder ser ud i forhold til it-sikkerheden, kan du gennemgå den på flere forskellige parametre.

Som en hjælp har Erhvervsstyrelsen og Rådet for Digital sikkerhed lavet det gratis online værktøj Sikkerhedstjekket. Her skal du svare på forskellige spørgsmål, og ender med en rapport der viser hvor du befinder dig i forhold til hvad der anbefales.

Værktøjet Sikkerhedstjekket tager afsæt i den internationale sikkerhedsstandard ISO27001, og favner således også kategorier som organisation, ledelse og processer.