Mange virksomheder udveksler store mængder følsomme personoplysninger gennem deres hjemmesider. Det kan have alvorlige konsekvenser for både virksomheden og brugerne, hvis oplysningerne kommer i de forkerte hænder. Datatilsynet har publiceret to nye anbefalinger til, hvordan man med den rette brug af kryptering kan sikre virksomhedens hjemmeside.
Når en bruger kobler sig på en hjemmeside for at sende oplysninger til en myndighed eller arbejde hjemmefra, sker der en udveksling af data mellem brugeren og den dataansvarlige myndighed eller virksomhed, som ejer hjemmesiden.
Brugeren kan kun i nogen grad selv medvirke til, at der skabes en sikker forbindelse. Det skyldes, at brugerens muligheder for at beskytte udvekslingen af oplysninger er begrænsede, da brugeren oftest ikke har de fornødne tekniske kompetencer, og fordi brugeren kun kontrollerer sin del af dataudvekslingen – fx computeren – og ikke hjemmesiden. På samme måde kan hjemmesideejeren ikke altid regne med, at brugeren anvender hjemmesiden på den mest fornuftige måde.
Den dataansvarlige hjemmesideejer har derfor pligt til at sikre, at forbindelsen er tilstrækkeligt krypteret. Pligten skyldes, at den dataansvarlige efter persondataloven skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Derudover kan uvedkommendes adgang til persondata have uoverskuelige og uoprettelige konsekvenser for en virksomhed.Sådan sikrer du bedst muligt en sikker forbindelse
Datatilsynet giver i sin nye IT-sikkerhedstekst (ST13) anbefalinger til, hvilke foranstaltninger den dataansvarlige hjemmesideejer bør implementere for at sikre forbindelsen ved udvekslingen af data på hjemmesiden. Foranstaltningerne er blandt andet at:
- Opsætte hjemmesiden til kun at anvende krypteringsmetoder, der efter den dataansvarliges vurdering anses for tilstrækkeligt sikre – fx ved at hindre forældede browsere i at udveksle data med hjemmesiden.
- Oprette procedurer, som regelmæssigt vurderer sikkerheden for den anvendte krypteringsmetode og software.
- På en enkel måde vejlede brugerne om, hvad de særligt skal være opmærksomme på for at beskytte deres oplysninger. Virksomheder kan udarbejde klare interne regler for, hvordan medarbejdere skal benytte forbindelser med adgang til virksomhedens oplysninger.
Dog giver den teknologiske udvikling hele tiden nye muligheder for misbrug og uautoriseret adgang, ligesom de fleste virksomheder konstant er under forandring. Derfor er det nødvendigt som dataansvarlig løbende at genoverveje og opdatere sine krypteringsløsninger.
Gode råd til brugeren
Datatilsynet har også udarbejdet en IT-sikkerhedstekst (ST12), der indeholder anbefalinger til, hvad brugerne selv kan gøre for at sikre beskyttelsen af personoplysningerne ved brug af hjemmesider. Brugeren bør blandt andet:
- Undersøge om browseren holdes sikkerhedsmæssigt opdateret af udbyderen. Med en sikkerhedsmæssigt opdateret browser er det mere sandsynligt, at browseren kan advare brugeren om aktuelle risici ved en anvendt krypteringsmetode.
- Sørge for at sikkerhedsmæssige opdateringer til browseren installeres, så snart de er tilgængelige fra udbyderen.
- Undersøge browserens informationer i form af hængelås, HTTPS, tekstuelle advarsler, symboler, farver, oplysning om krypteringsmetode osv. Ud fra dette kan brugeren vurdere tilstrækkeligheden af beskyttelsen af dataudvekslingen.
Du kan læse de nye sikkerhedstekster
her.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg)
-medium.jpg)
-medium.jpg)
