21 apr. 2020
Cyber attack

Hvem kigger med, når dine medarbejdere arbejder hjemme?

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

21 apr. 2020
Relaterede emner COVID-19 Cybersecurity

COVID-19 vender op og ned på mange ting, og det gælder også vores måde at arbejde på. 

Mange af os arbejder hjemme i disse tider, og det stiller store krav til de sikkerhedsforanstaltninger, der skal implementeres på din arbejdsplads – dette gælder både de tekniske værn, der skal sættes op, men i lige så høj grad (og måske i endnu højere grad) regulering af brugernes adfærd.

Øget cybertrussel og risikofyldte persondatabehandlinger

Langt de fleste af dine medarbejdere arbejder i disse tider hjemmefra, og de har gjort det i flere uger. Dette har for de fleste naturligt været en omvæltning. Arbejdet skal nu udføres via fjernopkoblinger, digitale møder m.v., samtidig med at børnene skal passes. Man har ikke lige en kollega ved hånden, man kan spørge til råds.

Dette er med til at gøre, at dine IT-systemer og platforme – og den generelle databeskyttelse - er endnu mere sårbar end før coronakrisen.

Det er også én af årsagerne til, at Forsvarets Efterretningstjenestes Center for Cybersikkerhed (CFCS) den 3. april 2020 har opdateret trusselsbilledet for de alvorligste cybertrusler, cyberkriminalitet og cyberspionage.

CFCS vurderer, at truslen er på det højest mulige niveau, og at truslen er rettet mod alle.

Hackere vælger andre angrebsmetoder

Pandemien har primært påvirket trusselsbilledet i forhold til, hvilke angrebsmetoder hackerne vælger. Eksempelvis er der en stigende risiko for, at du udsættes for phishing-mails, eller at hackere forsøger at angribe dig via fjernadgange. Da IT-sikkerheden på grund af dine ændrede arbejdsvilkår allerede er under pres, udgør det en farlig cocktail.

Denne risiko forøges i endnu højere grad i tilfælde, hvor du ikke kan sikre den fornødne tekniske sikkerhed, som eksempelvis når dine medarbejdere anvender uautoriserede systemer for at lette arbejdsgange, eller hvis dine medarbejdere som led i deres hjemmearbejde medbringer eller printer fysiske dokumenter med fortrolige eller følsomme oplysninger og glemmer at bortskaffe dem på sikker vis.

Selv det forhold, at du og dine medarbejdere er omringet af familien, mens I arbejder, kan være en udfordring for sikkerheden, for det er jo ikke alle oplysninger, som familiemedlemmerne eller tilfældige besøgende bør få indsigt i.

Hvilke forholdsregler kan du tage?

Samtidig medfører COVID-19, at du som arbejdsgiver er nødt til at tage en række forholdsregler i kampen mod corona, der stiller dig overfor nogle væsentlige databeskyttelsesretlige spørgsmål.

  • Kan du fx kræve, at dine medarbejdere og besøgende kunder oplyser om deres helbredsmæssige forhold?
  • Kan du gennemføre helbredstjek/test af dine medarbejdere?
  • Må du videregive oplysning om, at en af dine medarbejdere er smittet med corona?
  • Hvad må du i det hele taget registrere af helbredsmæssige oplysninger om dine medarbejdere?

Disse spørgsmål kan være vanskelige at besvare generelt, da lovligheden af en behandling af personoplysninger vil afhænge af de konkrete omstændigheder.

COVID-19 undskylder ikke brud på GDPR

Selvom COVID-19 som beskrevet ovenfor medfører ændrede arbejdsgange og nye foranstaltninger, skal du være opmærksom på, at Det Europæiske Databeskyttelsesråd og Datatilsynet flere gange i løbet af de seneste uger har slået fast, at kampen mod corona ikke medfører, at der lempes på de databeskyttelsesretlige krav.

Du skal derfor – uanset de helt særlige omstændigheder – fortsat sikre, at borgernes, medarbejdernes og kundernes personoplysninger beskyttes tilstrækkeligt og behandles lovligt. Har du ikke tilstrækkelige sikkerhedsforanstaltninger, kan du selv i disse coronatider risikere millionbøder for overtrædelse af GDPR.

Hvad kan du gøre for at sikre dine data?  

Det er ekstremt vigtigt, at ikke kun du men også dine medarbejdere har fuldt fokus på sikkerheden.

Selvom samfundet står overfor en gradvis åbning nu, forventes en andel af medarbejderstaben fortsat at skulle arbejde hjemmefra en rum tid endnu.

De tekniske sikkerhedsforanstaltninger - adgang til dine data via nettet

Èn ting er, at du skal stille de nødvendige centrale systemer til rådighed for dine medarbejdere, således at de kan varetage deres arbejdsopgaver på en hensigtsmæssig måde og med respekt for den nødvendige sikkerhed. Ved valg af sådanne systemer skal du bl.a. overveje:

  • Hvilken risiko og konsekvens, der er forbundet med behandlingen/systemet?
  • Hvem der kan få adgang til oplysningerne i systemet?
  • Hvor oplysningerne egentlig opbevares?
  • Om der skal indgås en databehandleraftale, før systemet tages i brug?

Du kan sikre virksomheden ved at:

  • anvende krypterede opkoblingsløsninger som VPN og lignende
  • de løsninger (VPN, Teams, Skype mv.), du tilbyder dine medarbejdere, muliggør fjernarbejdet og er gearet til den kraftigt øgede trafik.
  • sikkerhedsopdateringer (Anti-virus, patches mv.) stadig distribueres til medarbejdernes computere og devices, selvom der arbejdes hjemmefra.
De organisatoriske sikkerhedsforanstaltninger – medarbejdernes adfærd

Men sikkerhed er ikke kun tekniske værn, firewalls, VPN-opkoblinger osv. Medarbejdernes adfærd kan udgøre en ligeså stor (hvis ikke større) trussel mod sikkerheden.

Så det er mindst lige så vigtigt, at dine medarbejdere også bidrager til sikkerheden.

Dine medarbejdere skal spørge sig selv:

  • Holder jeg fast i at overholde virksomhedens politikker, fx omkring forbud mod at bruge eget udstyr? Det er vigtigt at holde virksomhedens data indenfor virksomhedens netværk, så uautoriserede ikke får adgang hertil. Det gælder også ægtefæller og børn.
  • Hvem lytter med, når jeg holder digitale møder derhjemme? Fortroligheden strækker sig også til den nærmeste familie.
  • Er mit wi-fi netværk derhjemme beskyttet? Hackere kan lytte med og dermed opsnappe data, der sendes over wi-fi.
  • Er jeg tilpas skeptisk overfor mails? Hackere forsøger ofte at lokke folk til at klikke på farlige links, der i værste fald kan installere malware eller andet skadeligt på din pc, og dermed bringe virksomhedens sikkerhed i fare.
Virksomhedens opgave og ansvar

For at sikre dette skal du udarbejde klare politikker og retningslinjer, og det er afgørende, at du tester, at dine medarbejdere rent faktisk er bekendt med retningslinjerne og følger dem. Sådanne politikker og retningslinjer skal naturligvis være revideret til den ændrede situation, som COVID-19 medfører. Eksempelvis:

Klare og tydelige instrukser til medarbejderne
Du er nødt til at udarbejde klare instrukser til dine medarbejdere om, at de f.eks. ikke uden tilladelse fra organisationen må downloade digitale løsninger, gratis licenser eller lignende, og det skal stå medarbejderne klart, hvordan de skal håndtere fysiske dokumenter, nu hvor de arbejder hjemme og således ikke har samme adgang til at opbevare og bortskaffe dokumenterne på tilstrækkelig sikker vis.

Dokumenter din håndtering af GDPR under COVID 19
Endelig er det dit ansvar, at du konkret vurderer, hvilke personoplysninger du fx må behandle om dine medarbejdere og kunder som led i de ændrede processer under COVID-19, og det er vigtigt, at du sørger for at dokumentere dine overvejelser. Du skal her både være opmærksom på at begrænse omfanget af personoplysninger, ligesom du alene skal opbevare de relevante personoplysninger, så længe det er nødvendigt. Dette gælder særligt, når behandlingen omfatter følsomme personoplysninger som fx oplysninger om medarbejdernes helbred. Herudover er det vigtigt, at du tager hensyn til relevant ansættelses- og arbejdsretlig lovgivning, idet du som arbejdsgiver som udgangspunkt alene er berettiget til at behandle helbredsoplysninger, hvis loven kræver det.  

Særligt vedrørende databehandlere
Særligt hvis du behandler personoplysninger som databehandler, er det vigtigt, at du gennemgår dine databehandleraftaler for at sikre, om aftalen regulerer, i hvilket omfang du må behandle personoplysninger som led i hjemmearbejde. Det er vigtigt, at du sikrer, at behandlingen af personoplysninger på vegne af dine kunder - også i denne særlige periode - sker i overensstemmelse med dine kunders instrukser.

Behandler du derimod personoplysninger som dataansvarlig, bør du overveje, om du i denne usædvanlige tid bør føre særlig kontrol med dine databehandlere, herunder hvis der i databehandleraftalen er fastsat særlige krav til de sikkerhedsforanstaltninger, som databehandleren skal implementere ved brug af hjemmearbejde.

Hvordan kan vi hjælpe?

Vi hjælper dig med at få et overblik over GDPR-håndteringen i din virksomhed. Er den tilstrækkelig?

Vi oplever, at mange myndigheder og virksomheder er usikre på, om de har implementeret tilstrækkelige sikkerhedsforanstaltninger til efterlevelse af GDPR og sikring af den mere generelle informationssikkerhed. Det gælder ikke kun i forbindelse med COVID-19 men også i forhold til organisationernes samlede GDPR-implementeringsprojekt. Informationssikkerheden skal jo bestemt også være på plads efter COVID-19.

Mange har allerede foretaget en række implementeringstiltag, men de er usikre på, om de har den samlede GDPR-sikkerhedspakke på plads.

Velvidende at mange organisationer skal prioritere ressourcerne i denne tid, så ser vi samtidig, at flere organisationer oplever, at der nu rent faktisk er tid til at se nærmere på organisationens GDPR-implementeringsprojekt. Herudover er der også flere organisationer, der er opmærksomme på, at en eventuel genopretningsopgave på den anden side af COVID-19 vil kunne vise sig langt værre, hvis systemer, platforme og databeskyttelsesretlige processer ovenikøbet er blevet kompromitteret.

Selvom der kun i begrænset omfang er åbnet op for de fysiske kundemøder, er det oplagt at få gennemført et review af de skriftlige sikkerhedsforanstaltninger – datakortlægning, gap analyse, procedurer m.v. – som organisationen har implementeret. Dette er netop en opgave, der smidigt kan løses digitalt – enten med en opfølgende skriftlig rapportering eller en virtuel rapportering via Teams.

Hos EY sidder eksperterne klar til at rådgive og hjælpe jeres virksomhed igennem denne specielle tid.

Vi har allerede hjulpet en lang række af vores kunder med deres GDPR-implementeringsprojekter, herunder med opdatering og udbredelse af politikker omkring GDPR og cybersikkerhed - og i den forbindelse også hjemmearbejde. Vi er involveret i flere GDPR-implementeringsprojekter, der er blevet fremrykket i forbindelse med COVID-19-situationen. Vores tekniske kolleger foretager penetrationstest af virksomhedernes systemer for at afdække specifikke risici, ligesom vi tilrettelægger og gennemfører specifik undervisning af kundernes medarbejdere indenfor GDPR og cybersikkerhed – også som online løsninger.

Kontakt os gerne for en nærmere snak om, hvad netop din virksomhed har brug for.

Peter Kold, Associate Partner, Head of Cyber & GDPR Consulting, EY Business Consulting, tlf. 2529 4598
Bodil Brabæk, Director and Co-Head of Data Privacy Law, EY Law, tlf. 2529 3268

Sammendrag

Som følge af COVID-19 er flere medarbejdere nødsaget til at arbejde hjemmefra, hvilket stiller store krav til sikkerheden på de ”nye” arbejdspladser. Virksomhederne skal bl.a. være opmærksom på nye hackermetoder, overholdelse af GDPR og på, hvordan man bedst muligt sikrer sin data – både teknisk og ved brugeradfærd.

Om denne artikel

Af

EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

Relaterede emner COVID-19 Cybersecurity