Hvorfor skal du begynde at tage databeskyttelse seriøst - og hvordan ESET kan hjælpe

HENT GRATIS GUIDE
Hvad er GDPR?

Er du GDPR-kompatibel?

I maj 2018 træder en ny EU-dækkende databeskyttelsesforordning i kraft.

Hvis det påvirker dig, skal du begynde at tænke over overholdelse nu. Denne webside er taget frem for at hjælpe dig med at forstå GDPR, kvantificere kravene og tilbyde løsninger. Den generelle databeskyttelsesforordning (GDPR) vil påvirke enhver organisation i Europa, der håndterer personoplysninger af enhver art. Det vil også påvirke enhver virksomhed, der driver forretning i EU. Reglerne er komplekse og bøder for manglende overholdelse er betydelige (op til 20 millioner euro).
Du er på rette sted for at lære mere!

calendar due date GDPR

Få din gratis GDPR-guide

ESET og dets juridiske rådgivere har udarbejdet denne dybtgående vejledning for at undersøge, hvordan den nye EU-forordning vil påvirke dig.

guide general data protection regulation

Online kompabilitetscheck

Overholder din organisation forordningen?

Sådan overholder du GDPR, trin for trin

Konsekvenserne af GDPR er indviklede, så vi har brudt processen op i tre grupper af forberedelser som du bør overveje, opdelt i forskellige områder med mere detaljeret forklaring. Bare klik på søjlerne i diagrammet nedenfor for at se disse områder mere indgående.

+Sammenfattende

Nogle af principperne i GDPR er en videreførelse af dem, der er fastlagt i det eksisterende databeskyttelsesdirektiv, nemlig: retfærdighed, lovlighed og gennemsigtighed; intension, dataminimering; datakvalitet; sikkerhed, integritet og fortrolighed.

GDPR etablerer et nyt ansvarlighedspraksis ved at gøre en

lovlighed, retfærdighed og gennemsigtighed – Personoplysninger skal nu behandles på en transparent måde i forhold til den registrerede.

Begrænsning af formål – Med visse forbehold vil arkivering af personlige data, der er af almen interesse, ikke betragtes som uforenelig med de oprindelige forarbejdningsformål.

Opbevaring – Personlige data skal opbevares i en form, der tillader identifikation af [/ simple_tooltip] Registrering skal ikke vare længere end nødvendigt for de formål for hvilke personoplysningerne behandles.

Ansvarlighed – Den registeransvarlige er skyldig at kunne anskueliggøre overholdelse af principperne.

+Organisatoriske krav på struktur

Under GDPR skal du gennemføre en bred vifte af foranstaltninger for at sikre, at du reducerer risikoen for at overtræde GDPR og give dig mulighed for at bevise, at du tager dataefterfølgelse
seriøst. Blandt de nødvendige ansvarlige foranstaltninger er: Konsekvensanalyser, revisioner, policyanmeldelser, aktivitetsoptegnelser og (potentielt) udpegelse af en databeskyttelsesansvarlig (DPO).

GDPR indfører forpligtelse for visse organisationer til at udpege en databeskyttelsesansvarlig (DPO). Organisationer skal udpege en medarbejder eller en ekstern konsulent som sin DPO.

Hvis du er en marketingmedarbejder med en stor database over forbrugere vil du sandsynligvis være nødt til at udpege en DPO; De nationale databeskyttelsesmyndigheder forventes at give vejledning om, hvem der kvalificerer sig.

Din DPO vil være ansvarlig for at overvåge overholdelse af GDPR, rådgive dig om dine forpligtelser, rådgive om hvornår og hvordan en konsekvensvurdering skal gennemføres og være kontaktpunkt for henvendelser fra nationale databeskyttelsesmyndigheder og enkeltpersoner.

Konceptet med en one-stop-shop gør det muligt for en organisation, der er etableret i flere EU-lande, kun at beskæftige sig med en national

+Processer, procedurer og policies

GDPR omdefinerer et datatyveri som “brud på sikkerhed, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse eller adgang til overførte personoplysninger, lagret eller på anden måde behandlet”.

Dette er en bredere definition end før og tager ikke højde for, om overtrædelsen skaber skade for den enkelte. Hvis du bliver offer for et brud på datasikkerheden, skal du straks informere din nationale databeskyttelsesmyndighed eller senest 72 timer efter at overtrædelsen er konstateret .

Du er imidlertid fritaget for at underrette personer, hvis du har gennemført passende tekniske og organisatoriske foranstaltninger til beskyttelse af personlige data, som f.eks. kryptering.

En vigtig del af at overholde GDPR er privatlivets fred gennem design, dvs. design af hver ny proces eller produkt med privatlivets fred i fokus. Mens den tidligere bestod af bedste praksis, er denne indfaldsvinkel nu et eksplicit krav.

En konsekvensvurdering for databeskyttelse, også kendt som konsekvensanalyseparametre (PIA), har til formål at identificere og minimere risikoen for manglende overholdelse.

GDPR gør PIA til et formelt krav; specifikt

Hvis du opererer internationalt, er dine regler og processer for

+Bevidsthed om datasikkerhed

Nu er tiden inde til at begynde at forklare behovet for GDPR-overholdelse for dine egne medarbejdere. Du skal muligvis allerede nu planlægge
reviderede arbejdsmetoder for at håndtere GDPRs nye transparens og de individuelle rettigheder. Dette kan have betydelige økonomiske, IT- og uddannelsesmæssige konsekvenser.

+Forpligtigelser - tekniske foranstaltninger

GDPR gør

+Brud på datasikkerhed - tekniske foranstaltninger

Du skal forberede dig til brud på datasikkerhed (defineret som “ et brud på sikkerheden, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse af eller adgang til overførte personoplysninger, lagret ellers behandlet ” ) Ved at indføre klare policies og gennemprøvede procedurer for at sikre, at du kan reagere på og give besked om ethvert brud på data, hvor det er nødvendigt.

Manglende indberetning af en overtrædelse, når det kræves, kan resultere i en bøde, samt en bøde for databruddet selv.

+Sikre datarettigheder - teknisk

GDPR styrker rettighederne til

Et af hovedmålene med GDPR er at styrke individernes rettigheder. Som følge heraf ændres reglerne for håndtering af anmodninger om emneadgang, og du skal opdatere dine procedurer for at afspejle dette.

Generelt vil du ikke få tilladelse til at indkræve betaling for at overholde en anmodning; desuden vil du typisk kun have en måned at efterkomme (den nuværende grænse er 40 dage).

Retten til at blive glemt (‘sletning’ i GDPR’s terminologi) tillader enkeltpersoner at kræve din

Tredjeparter, som du deler enkeltpersoners data med, er også omfattet af disse regler.

GDPR definerer profilering som “ enhver form for automatiseret behandling af personoplysninger, der består af brug af personoplysninger til vurdering af visse personlige forhold vedrørende en fysisk person, især for at analysere eller forudsige visse aspekter vedrørende den fysiske persons præstation på arbejdspladsen, økonomiske situationer, helbred, personlige præferencer, interesser, pålidelighed, adfærd, placering eller bevægelse “; Der er dog en vis tvetydighed om, hvorvidt de registrerede har krav på at træffe beslutninger baseret på profilering, vil blive håndhævet.

GDPR introducerer en ny ret til dataportabilitet, som går ud over enkeltpersoners ret til at kræve, at du leverer deres data i en almindeligt anvendt elektronisk form lokalt og kræver, at den registeransvarlige giver oplysninger i en struktureret, almindeligt anvendt og maskinlæsbar formular.

Der er nogle begrænsninger for denne regel, for eksempel gælder det kun personoplysninger behandlet med automatiserede midler.

Som en del af sit mål om at styrke individernes rettigheder giver Europakommissionen også ret til at begrænse visse former for behandling og en ret til at gøre indsigelse mod personoplysninger, der behandles til direkte markedsføring, herunder profileringsaktiviteter med intention til direkte markedsføring.

Når en person gør indsigelse, må dennes data ikke behandles yderligere til direkte markedsføring, og individets kontaktoplysninger skal tilføjes til en intern fil.

Organisationer skal informere enkeltpersoner om deres ret til at gøre indsigelse mod behandlingen af deres data på en måde, der er eksplicit og adskilt fra andre oplysninger, som de også skal give til enkeltpersoner.

+Kommunikation af personlige oplysninger (godkendelser, fair behandlingsmeddelelser)

Det kan være nødvendigt at besigtige, hvordan du søger, indhenter og registrerer samtykke.  En registreret er Samtykke [/ simple_tooltip] til behandling af deres personoplysninger skal være lige så nem at trække tilbage som at give, og skal også være en positiv indikation af, at personoplysninger behandles – det kan ikke udledes af tavshed, forkrydsede kasser eller inaktivitet .

Online er forældrenes forudgående samtykke påkrævet for brug af personoplysninger for alle under 13 år; Medlemsstaterne kan fastsætte deres egne regler for personer i alderen 13-15 år. Hvis de vælger at ikke gøre det, kræves forældrenes samtykke til børn under 16 år.

Som følge heraf bør du begynde at tænke på, hvordan man implementerer robuste systemer for at verificere enkeltpersoners aldre og indsamle forældres eller værgeres samtykke til at behandle sådanne data.

Samtykke skal være verificerbare, og når du indsamler børns data skal dine oplysninger om privatlivets fred være skrevet på et sprog, som børnene vil forstå.

GDPR vil sandsynligvis øge antallet af ting, du skal fortælle

+Datasikkerhed (integritet og fortrolighed)

GDPR angiver kryptering som et approach, som kan bidrage til at sikre overholdelse af nogle forpligtelser. For at citere fra forordningen:

Artikel 32 – Sikkerhed for behandling

”1. Under hensyntagen til den nyeste teknologi, omkostningerne ved gennemførelsen og arten, omfanget, konteksten og formålet med forarbejdning samt risikoen for varierende sandsynlighed og sværhedsgrad for fysiske personers rettigheder og friheder, er

Artikel 34 – Meddelelse om overtrædelse af personoplysninger til den registrerede

”3. Meddelelsen til den registrerede som omhandlet i paragraf 1 kræves ikke hvis en af ​​følgende betingelser er opfyldt: (a)

GDPR angiver kryptering som en mulighed, som kan bidrage til at sikre overholdelse af nogle af sine forpligtelser. For at citere fra forordningen:

Artikel 32 – Sikkerhed for behandling
“1.   Med hänsyn till den senaste teknologien,, omkostningerne ved gennemførelsen og omfanget, konteksten og formålet med forarbejdning samt risikoen for varierende sandsynlighed og sværhedsgrad for fysiske personers rettigheder og friheder, er
udgifter til implementering og omfang, sammenhæng og formålet med behandlingen og potentialet for varierende sandsynlighed og alvoren af fysiske personer rettigheder og friheder, så bør oCH[simple_tooltipindhold='{p}dataprocessorerenenhed,derbehandlerdatapåvegneafenregisteransvarlig.

{/p}{p}GDPRdefinierarenregisteransvarligsom "enfysiskellerjuridiskperson,offentligmyndighet,bureauellerannanenhedsombehandlarpersonligedatapåvegneafregisteransvarlig".{/p}{p}enregisteransvarligterenpersonellerenenhedsomheltellerdelvisbestemmerformåletogmådeatbehandlepersonoplysninger.{/p}']processor"> controller [/ simple_tooltip] o CH [simple_tooltip indhold = '{p} dataprocessor er en anordning, der behandler data på vegne af en data controller.

Hvor formålet og metoden til en sådan behandling er bestemt af union eller kan registeransvarlig nationel medlemsstaterne eller de specifikke kriterier for udpegning udstedt af Unionen eller medlemsstaterne slags. "{/ P} '] controller [/ simple_tooltip] o CH [simple_tooltip indhold = '{p} dataprocessor er en enhed, der behandler data på vegne af en registeransvarlig.

{/p}{p}GDPR definierar en registeransvarlig som "en fysisk eller juridisk person, offentlig myndighet, bureau eller annan enhed som behandlar personlige data på vegne af registeransvarlig". {/p}{p}en registeransvarligt er en person eller en enhed som helt eller delvis bestemmer formålet og måde at behandle personoplysninger.{/p}']processor oCH[simple_tooltipindhold='{p}dataprocessorerenenhed,derbehandlerdatapåvegneafenregisteransvarlig.

{/p}{p}GDPRdefinierarenregisteransvarligsom "enfysiskellerjuridiskperson,offentligmyndighet,bureauellerannanenhedsombehandlarpersonligedatapåvegneafregisteransvarlig".{/p}{p}enregisteransvarligterenpersonellerenenhedsomheltellerdelvisbestemmerformåletogmådeatbehandlepersonoplysninger.{/p}']processor" tabindex="-1" role="dialog" aria-labelledby="myModalLabel" aria-hidden="true"> en registeransvarlig er en person eller enhed som helt eller delvis bestemmer formålet og måde at behandle personoplysninger. {/ P} BNPR definerer en registeransvarlig eller den nationale lovgivning kan verifikator eller de specifikke kriterier for udpegning udstedt af Unionen eller medlemsstaterne slags. "{/ P} implementerer korrekte tekniske og organisatoriske målinger for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til risiko: (a) pseudonymisering og kryptering af data […] “

+Datadokumentation, retsgrundlag og revision

Du skal dokumentere, hvilke personlige data du holder, hvor den kommer fra, og hvem du deler den med.

Hvis du har unøjagtige personoplysninger og har delt dette med en anden organisation, kræver GDPR, at du fortæller den anden organisation om unøjagtigheden, så den kan rette sine egne optegnelser. For at gøre dette kan der kræves en informationsrevision på tværs af din organisation eller inden for bestemte forretningsområder. Dette vil også hjælpe dig med at overholde GDPRs ansvarlighedsprincipper.

Dette er nødvendigt, fordi nogle enkeltpersoners rettigheder ændres af GDPR afhængigt af dit retsgrundlag for behandling af deres personlige data. Et eksempel er, at folk vil have en stærkere ret til at få deres data slettet, hvor du bruger samtykke som dit retsgrundlag for behandling. Samtykke er dog kun en af en række forskellige måder at legitimere dataforarbejdningsaktivitet på og den er måske ikke være den bedste (da den kan trækkes tilbage).

Oplysningerne på denne webside udgør ikke en juridisk anskuelse, og brugerne bør ikke fæste lid til nøjagtigheden, når de træffer økonomiske eller forretningsmæssige beslutninger. ESET er ikke ansvarlig for konsekvenser som følge af sådanne handlinger. Søg altid uafhængig juridisk rådgivning.

Deltag i vores GDPR-webinar

Tal med vores eksperter om, hvordan den nye generelle databeskyttelsesforordning vil påvirke din virksomhed. ESET er vært for webinars som forklarer problemerne omkring GDPR. Disse webinars er gratis at deltage i: Bare tilmeld dig nedenunder og vi inviterer dig til det næste webinar.

Kryptering som en løsning

Hvad er kryptering?

1099/5000
D Kryptering er processen med kodning af oplysninger på en måde, der forhindrer uautoriserede parter i at kunne læse det.

Nøglelængde og krypteringsstyrke
Krypteringsstyrken er oftest lig med nøglelængde (bits) og krypteringsalgoritmen. Den enkleste måde at knække kryptering på er at prøve alle mulige nøgler. Dette er kendt som et brute-force-angreb, men længere nøgler har gjort denne tilgang ineffektiv.
For at brute-force-angribe en 128-bit AES-nøgle, skal hver af de ca. 7 milliarder mennesker på jorden kontrollere 1 milliard nøgler et sekund for omkring 1,5 billioner år for at teste hver nøgle.
Så angriberne forsøger typisk ikke at omdanne algoritmen eller brute-force-nøglen. I stedet ser de efter sårbarheder i krypteringssoftwaren, eller forsøger at inficere systemet med malware for at indfange adgangskoder eller nøglen, når de behandles.

For at minimere disse risici bør du bruge et uafhængigt valideret krypteringsprodukt og køre en avanceret, opdateret anti-malware-løsning.

Hvordan virker det?

Kryptering anvendes sædvanligvis på to forskellige måder:

Krypteret lagring – kaldes ofte ‘data i hvile’ – bruges mest til at kryptere en hel disk, et drev eller en enhed.

Denne type kryptering virker kun, når systemet er stoppet, drevet udløses eller krypteringsnøglen er blokeret.

Krypteret indhold også kaldet granulær kryptering – betyder typisk kryptering af filer eller tekst på applikationsniveau.

Det mest almindelige eksempel er e-mail-kryptering, hvor meddelelsesformatet skal forblive intakt for e-mail-klientprogrammet for at kunne håndtere det, men tekstkroppen af e-mailen krypteres sammen med eventuelle vedhæftede filer.

eset data encryption example

Hvad har jeg brug for fra kryptering?

Mens nøglelængde og rækkevidden af softwarefunktioner er vigtige fortæller de ikke, hvor godt et produkt vil agere fra brugerens synspunkt – eller fra administratorens.

FIPS - 140 validering

Den mest accepterede uafhængige validering er FIPS-140-standarden. Hvis et produkt valideres til FIPS-140, er det allerede sikrere end de fleste situationer kræver og vil være acceptabelt under GDPR og andre regler.

Brugervenlighed til ikke-tekniske brugere

Der vil altid være situationer, hvor dine medarbejdere skal beslutte, om de skal kryptere et dokument, e-mail osv. Det er vigtigt at de kan bruge den medfølgende software og kan være sikker på, at kryptering af data ikke vil låse dem – eller autoriseret modtagere – ude.

Fjernstyring af nøgler, indstillinger og sikkerhedspolicy

For at undgå, at personalet skal træffe sikkerhedsbeslutninger, kan kryptering håndhæves overalt – men det har tendens til at begrænse legitime forretningsprocesser og kan kvæle produktiviteten. Inkluderingen af en fjernstyringsfunktion – en, der tillader ændring af krypteringsnøgler, funktionalitet eller sikkerhedspolitikindstillinger for fjernbrugere , der typisk repræsenterer det største sikkerhedsproblem – betyder, at standardindstillingerne for håndhævet kryptering og sikkerhedsrutiner kan indstilles højere uden at begrænse normale processer andetsteds i virksomheden.

Forvaltning af krypteringsnøgler

En af de største anvendelsesmæssige udfordringer er, hvordan brugerne forventes at dele krypteret information. Der er to traditionelle metoder:

Delte adgangskoder , som lider af at være nemme at huske og usikre eller umulige at huske og sikre, men som er skrevet ned eller glemt.

Offentlig nøglekryptering , som fungerer godt på tværs af mindre arbejdsgrupper med ingen eller lav personaleomsætning, men bliver kompleks og problematisk med større eller mere dynamiske teams.

Hvis man bruger central forvaltning undgår man de disse problemer med delte krypteringsnøgler med den ekstra bonus, at det spejler den måde, fysiske nøgler normalt bruges til at låse vores huse, lejligheder, biler osv. Personale forstår allerede dette koncept, og du behøver kun at forklare det en gang. Sammen med et premium fjernstyringssystem, opretter de delte krypteringsnøgler den optimale balance mellem sikkerhed og anvendelighed.

Prøv DESlock Encryption gratis

Udfyld blot din kontaktinformation så starter vi en prøveperiode så du kan opleve fordelene ved kryptering med ESET. Som en opfølgning kan du blive kontaktet af en ESET-partner via telefon eller e-mail.

Hvordan ESET kan hjælpe

Vores løsning:
DESlock Encryption af ESET

Kryptering af personlige data i dine systemer kan hjælpe med at tilfredsstille mange krav i GDPR. ESETs løsning er kraftfuld, enkel at implementere og krypterer sikkert harddiske, flytbare medier, filer og e-mail.

DESlock Encryption giver dig mulighed for at opfylde datasikkerhedsforpligtelser ved nemt at håndhæve krypteringspolicies samtidig med høj produktivitet. Med lave help-desk-udgifter og korte implementeringscykler kan ingen andre produkter matche DESlock for fleksibilitet og brugervenlighed.

Klientsiden kræver minimal brugerinteraktion og forbedring af overholdelse og sikkerhed af dine virksomhedsdata fra en enkelt MSI-pakke. Server-siden gør det nemt at styre brugerne og arbejdsstationer og udvide beskyttelsen af din virksomhed ud over dit virksomhedsnetværk.

Hvad DESlock Encryption tilbyder

Enkel og kraftfuld kryptering til organisationer af alle størrelser krypterer sikkert filer på harddiske, bærbare enheder og sendt via email

Certificering: FIPS 140-2 Valideret 256 bit AES-kryptering for garanteret sikkerhed

Hybrid-cloud-baseret styringsserver til fuld fjernbetjening af endepunktskrypteringsnøgler og sikkerhedsregler

Supporterer Microsoft® Windows® 10 , 8, 8.1 herunder UEFI og GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algorithms & standards: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock + Pro - fordelene i detaljer

Fulddisk-kryptering?
Hurtig og transparent sikkerhed forud for opstarten

mediekryptering som kan fjernes?
Policydrevet flyttelig mediekryptering, der passer til enhver virksomheds sikkerhedsregler.

Outlook-plugin til e-mail & amp; vedhæftede filer
? Send og modtag enkelt krypterede e-mails og vedhæftede filer via Outlook

Virtuelle diske & amp; Krypterede arkiver
Opret et sikkert, krypteret bind på din PC eller på et andet sted eller en krypteret kopi af et helt katalogtræ og dets filer

Fil & amp; Mappe kryptering?
Hurtig og transparent giver et ekstra sikkerhedsniveau

Tekst & amp; clipboard-kryptering?
Krypter hele eller en del af et tekstvindue – webbrowsere, database memo-felter eller web-mail

Centraliseret styringskompatibel
• Fuld kontrol over licens- og softwarefunktioner, sikkerhedspolitik og krypteringsnøgler.

DESlock + bærbar kryptering?
Let at bruge on-device software til implementering på systemer uden licenser.

Prøv DESlock Encryption gratis

Udfyld blot din kontaktinformation så starter vi en prøveperiode så du kan opleve fordelene ved kryptering med ESET. Som en opfølgning kan du blive kontaktet af en ESET-partner via telefon eller e-mail.

Vi bruger cookies for at sikre, at du får den bedste oplevelse på vores hjemmeside. Mere info.

OK