Fingeraftrykscanner og digital adgangskontrol til datasikkerhed
DatasikkerhedArtikel 32

Adgangskontrol

Adgangskontrol er en fundamental sikkerhedsforanstaltning, der sikrer, at kun autoriserede personer har adgang til personoplysninger, og kun i det omfang der er nødvendigt for deres arbejdsopgaver. Effektiv adgangskontrol er en hjørnesten i GDPR-compliance.

Princippet om mindste privilegium

Princippet om mindste privilegium (Principle of Least Privilege) indebærer, at hver bruger kun skal have adgang til de data og systemer, der er strengt nødvendige for at udføre sine arbejdsopgaver. En kundeservicemedarbejder behøver fx ikke adgang til HR-systemet, og en bogholder behøver ikke adgang til marketingsystemets kundedata. Ved at begrænse adgangen minimeres risikoen for både utilsigtet og ondsindet misbrug af personoplysninger.

Rollebaseret adgangskontrol (RBAC)

Rollebaseret adgangskontrol organiserer adgangsrettigheder efter roller i stedet for individuelle brugere. Hver rolle tildeles et sæt rettigheder, der matcher funktionens behov. Når en medarbejder skifter afdeling eller forlader virksomheden, ændres eller fjernes rollen. RBAC gør det lettere at administrere adgang i større organisationer og sikrer konsistens. Det er vigtigt at gennemgå roller regelmæssigt for at undgå 'privilege creep', hvor brugere over tid akkumulerer unødvendige rettigheder.

Multifaktorgodkendelse (MFA)

Multifaktorgodkendelse kræver, at brugeren verificerer sin identitet med mindst to uafhængige faktorer: noget brugeren ved (adgangskode), noget brugeren har (mobiltelefon eller sikkerhedsnøgle) eller noget brugeren er (biometri). MFA reducerer risikoen for uautoriseret adgang markant, selv hvis en adgangskode kompromitteres. For systemer der behandler følsomme personoplysninger, anbefales MFA stærkt som en passende sikkerhedsforanstaltning under GDPR.

Logning og overvågning

Effektiv adgangskontrol understøttes af logning af adgangsforsøg og handlinger i systemer, der indeholder personoplysninger. Logs bør registrere hvem der tilgik data, hvornår det skete, og hvilke handlinger der blev udført. Regelmæssig gennemgang af logs kan afsløre uautoriseret adgang eller mistænkelig adfærd. Logdata er også væsentlige i forbindelse med undersøgelse af databrud og kan dokumentere virksomhedens sikkerhedsforanstaltninger over for Datatilsynet.

Trin-for-trin guide

  1. 1

    Kortlæg adgangsbehov

    Identificer hvilke medarbejdere og roller der har brug for adgang til personoplysninger, og til hvilke systemer.

  2. 2

    Implementer rollebaseret adgang

    Opret roller med specifikke rettigheder og tildel medarbejdere til de relevante roller frem for individuelle rettigheder.

  3. 3

    Aktiver multifaktorgodkendelse

    Konfigurer MFA på alle systemer der indeholder personoplysninger for at sikre mod kompromitterede adgangskoder.

  4. 4

    Gennemgå regelmæssigt

    Foretag kvartalsvise gennemgange af adgangsrettigheder for at fjerne unødvendige tilladelser og opdatere roller.

Vigtigste punkter

  • Anvend princippet om mindste privilegium for alle brugere
  • Implementer rollebaseret adgangskontrol (RBAC)
  • Brug multifaktorgodkendelse (MFA) for systemer med personoplysninger
  • Log og overvåg adgang til systemer med persondata
  • Gennemgå adgangsrettigheder regelmæssigt for at undgå privilege creep

Læs også

KrypteringRisikovurderingDatabehandler
Tilbage til datasikkerhed