Allar spurningar og svör

Öryggi persónuupplýsinga

Ein meginskylda þeirra sem vinna með persónuupplýsingar er að tryggja öryggi þeirra.


Á þessari síðu má finna leiðbeiningar um hverju þurfi að huga að til að tryggja lágmarksöryggi persónuupplýsinga.

Athuga skal þó að eftir því sem vinnslan er umfangsmeiri eða unnið er með mikið magn viðkvæmra persónuupplýsinga getur þurft að setja upp flókin öryggiskerfi og jafnvel fá vottun á það upplýsingaöryggiskerfi sem sett er upp.

Leiðbeiningarnar hér miðast við að allir þeir sem vinni með persónuupplýsingar geti nýtt sér þær á einfaldan og hagkvæman hátt til að tryggja lágmarksöryggi.

Hvaða skyldur hvíla á þeim sem geyma eða vinna með persónuupplýsingar?

 

  • Ekki sé hætta á að óviðkomandi aðilar komist í þær
  • Að þær skaðist ekki eða glatist
  • Að þeir sem hafa gilda ástæðu til, komist í upplýsingarnar
  • Öryggisráðstafanir skuli taka mið af umfangi og viðkvæmni gagnanna.

 

Hvaða persónuupplýsingar teljast viðkvæmar eða viðkvæms eðlis?

 

  • Heilsufarsupplýsingar
  • Erfðaupplýsingar
  • Upptökur eða myndir af einkalífi fólks


Auk persónuupplýsinga sem skilgreindar eru viðkvæmar í lögum um persónuvernd þá eru jafnframt tilteknar upplýsingar viðkvæms eðlis sem falla ekki undir skilgreiningu laganna á viðkvæmum persónuupplýsingum. Sérstaklega þarf að huga að öryggi við vinnslu þeirra. 

Meðal persónuupplýsinga sem eru ekki viðkvæmar í skilningi laganna en þó viðkvæms eðlis má til að mynda nefna upplýsingar um félagsleg vandamál manna og önnur einkalífsatriði, s.s. hjónaskilnaði, samvistarslit, ættleiðingar og fóstursamninga.

 

Mega starfsmenn samnýta notendanafn og lykilorð eða aðgangskort?

Notið sértækt auðkenni fyrir hvern notanda og ekki samnýta þau. Ef fleiri starfsmann samnýta auðkennið er ekki hægt að rekja atburði og öryggi getur skaðast, t.d. ef einhver hættir.

Hversu flókin þurfa lykilorð að vera og hversu oft á að skipta um þau?

Því lengri því betra (12 stafir lágmark) og því fleiri tákngerðir (stórir og litlir stafir, tölur, tákn) því betra. Best er að nota forrit sem heldur utan um lykilorð og ekki nota sama lykilorð á mörgum stöðum. Tvíþátta auðkenning er betri og auðkenningarþjónustur leysa ýmsan vanda. Mörg fyrirtæki krefjast þess að skipt sé um lykilorð á 3 mánaða fresti en að margra mati er það of ört ef það leiðir til þess að notendur noti einfaldari lykilorð eða skrifi þau niður. Að lágmarki ætti að skipta um þau árlega.

Hvernig á atburðaskráning (loggun) að fara fram og hvernig má nota hana?

Mikilvægt er að skrá að minnsta kosti aðgang, frávik frá eðlilegu ferli og öryggisatvik. Sé um að ræða viðkvæmar upplýsingar eða ríka hagsmuni er rétt að skrá allan aðgang og breytingar. Mikilvægt er að notendur viti að verið sé að skrá aðgang og notkun gagna. Bannað er að nota slíkar aðgangsskráningar til annara nota, t.d. að fylgjast með viðveru starfsmanna.

Hvernig og hvenær á að láta vita ef öryggisbrestur verður?

Tilkynna skal um öryggisbresti og brot á meðferð persónuupplýsinga til Persónuverndar innan 72 klst. frá því að brotsins verður vart. Vinnsluaðili sem verður var við slíkt skal láta ábyrgðaraðila vita eins fljótt og unnt er. Ef bresturinn getur valdið einstaklingi skaða á einhvern hátt skal láta hann vita tafarlaust.

Geta vinnuveitendur krafist þess að notuð séu rafræn skilríki á vinnustað?

Rafræn skilríki og tvöföld auðkenning auka vissu fyrir því að réttir aðilar hafi aðgang að gögnum og þjónustu. Notkun þeirra í vinnu dregur ekki úr gagnsemi þeirra til einkanota og því verður að telja ásættanlegt að þau séu notuð á vinnustað þar sem talin er þörf fyrir aukið öryggi.

Er réttlætanlegt fyrir vinnuveitendur að skanna dulkóðaða gagnastrauma starfsmanna? (“https interception")

Því miður telja margir öryggissérfræðingar að nauðsynlegt sé að nauðsynlegt að rjúfa og skanna dulkóðaða gagnastrauma (https) til þess að unnt sé að verjast spilliforritum (td tölvuvírusum) og vefveiðum. Nauðsynlegt er að fyrirtækið upplýsi starfsmenn sína um það ef slíkt er gert.

Hvernig skal haga afritun?

 

  • Setjið upp öruggt afritunarkerfi
  • Geymið afritin á öruggum stað fjarri tölvusal
  • Tryggið öruggan flutning afrita
  • Setjið upp afritun fyrir fartæki (sé þess þörf)
  • Gerið reglulegar prófanir á afritum
  • Setjið upp aðgangskerfi fyrir langtímaafrit
  • Eyðið langtímaafritum á öruggan hátt þegar þar að kemur

 

Hvernig er best að fara með lausa geymslumiðla (USB-lykla, geisladiska, flakkara)?

Ein auðveldasta leiðin til þess að koma spilliforritum inn í fyrirtæki eða stofnun er með því að sýkja lausan geymslumiðil og gabba starfsmann til þess að opna hann. Farið því afar varlega með slíka miðla.

 

  • Slökkvið á sjálfvirkri keyrslu lausra miðla (“Auto-Play”)
  • Opnið slíka miðla helst ekki á nettengdum tölvum ef uppruni þeirra er óljós
  • Ef þarf að athuga innihald þeirra er betra að nota annað stýrikerfi en Windows, t.d. Linux

 

Hvernig er best að tryggja öryggi fartækja (farsíma, fartölva)?

 

  • Krefjist þess að fartækjum sé læst með auðkenningu
  • Aukið vitund notenda um hættur þess að nota fartæki
  • Setjið upp afritun fyrir fartæki
  • Setjið upp dulkóðun fyrir fartæki
  • Lágmarkið, ef mögulegt er, geymslu viðkvæmra upplýsinga á fartækjum 

 


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var fjármögnuð af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei