Februar 2019

by Christian Kofoed Christian Kofoed Ingen kommentarer

Mange sikkerhedsbrud kan nemt undgås

Datatilsynet har i nogle artikler oplyst, at langt de fleste anmeldelser om brud på persondata-sikkerheden som de modtager, skyldes oplysninger sendt til forkerte personer.

En anden funktion som man med fordel kan overveje at deaktivere, er at tage historikken med ved besvarelse af e-mail. Fra tid til anden sker der det, at der kommer flere / nye modtager på en mail og lige pludselig får disse måske data i en mail som de slet ikke burde have.

Den første nævnte fejltagelse kan nemt undgås, hvis man i Outlook deaktiver den funktion der hedder ”Auto-Complete”.  

Fejlen sker ofte, når man er for hurtigt og ikke får set ordentligt efter om det er den korrekte modtager, der er angivet, når man afsender en mail. Flere modtagere kan starte med det samme bogstav eller hedde det samme, og så kan det lynhurtigt gå galt, og man kan fejlagtigt få sendt de forkerte oplysninger til den forkert modtager. Derfor anbefales det, at man får deaktiveret ”Auto-Complete”.

På nedenstående skærmbillede kan du se indstillingerne for mailprogrammet i Microsoft Outlook. Dette er dog kun en vejledning for hvordan du kan minimere risikoen for at sende forkert. Vi anbefaler en eller flere af de nedenstående indstillinger for jeres mailprogram, hvis I vil minimere risikoen for fejl.

Når man er i sin Outlook mail trykker man på filer og derefter indstillinger. Så er der et underpunkt der hedder Mail, derinde kan man fjerne afkrydsning i ”Brug automatisk fuldførelse af liste til at forslå navne, når du skriver på linjerne Til, Cc og Bcc”. Et alternativ er, at man også en gang i mellem kan nøjes med at klikke på funktionen ”Tøm listen til autofuldførelse”. Det vil fjerne historikken for dem, der er sendt mails til.

Hvis du vil høre hvordan vi kan hjælpe dig, er du velkommen til at kontakte os på info@compliance-partners.dk eller telefon 69 1356 69.

by Christian Kofoed Christian Kofoed Ingen kommentarer

GDPR – Hvad skete der så?

Mere end 8 måneder er gået siden databeskyttelsesforordningen den 25. maj 2018 for alvor skulle anvendes. Historier er at selve forordningen faktisk allerede trådte i kraft den 24. maj 2016, men først skulle anvendes fra den 25. maj 2018. Ideen med den lange indkøring var, at alle skulle have mulighed for, at kunne leve op til forordningen når den fik sin anvendelse i maj 2018.

Men inden danske virksomheder kunne bruge forordningen, så skulle Datatilsynet udarbejde bland andet betænkninger, vejledninger og fortolkninger således, at databeskyttelsesforordningen nemmere kunne forstås og bruges i de danske virksomheder.

I perioden op til den 25. maj 2018 og en tid efter blev der desværre kørt en masse kampagner til skræk og advarsel for alle.

Nogle af disse kampagner betød, at opfattelsen hos enkelte var:

·        Det er helt umuligt at drive virksomhed med de nye GDPR-regler

·        Pas på bøderne på 4% af omsætningen

·        Man må ikke gemme nogle oplysninger

·        Man må ikke modtage ansøgninger pr e-mail

·        Alt er forbudt

·        Datatilsynet kan komme på kontrol besøge og lukke virksomheden.

·        Det er ugennemskueligt hvad man skal.

Dette er selvfølgelig ikke korrekt og slet ikke så farligt som mange har givet udtryk for. Overordnet sagt så mener vi i øvrigt ikke at det er Datatilsynet der er den farligste ”modspiller” i forbindelse med GDPR- reglerne. Vi er af den opfattelse, at dem man skal have den største respekt for er ”Sure kunder” og ”tidligere medarbejdere”. Så derfor handler det i første omgang om at få styr på hvordan man håndtere persondata om de 2 kategorier og man bruger det som afsæt til, at få styr på de øvrige persondata i virksomheden.

Vi arbejder ud fra de 9 punkter nedenfor, når vi rådgiver virksomheder om, hvordan vi ser de skal arbejde med databeskyttelsesforordningen i deres virksomhed.

1.    Få et overblik over hvor du har dine data – både de elektroniske og de fysiske.

2.    Udarbejd en fortegnelse over jeres behandling af persondata.

3.    Sørg for at have databehandleraftaler på plads.

4.    Overhold oplysningspligten til dem i behandler data omkring.

5.    Få udarbejdet nogle politikker for behandling af persondata.

6.    Arbejd med jeres datasikkerhed.

7.    Kend din risiko

8.    Orienter dit personale om jeres adfærd og omgang med persondata.

9.    Brug din sunde fornuft og tænk dig om.

Når vi arbejder med disse 9 punkter hos vores kunder, så bruger vi vores web-portal csmar.dk som støtte værktøj i processen.

Nedenfor en kort beskrivelse af de enkelte punkter:

1.        Få et overblik over hvor du har dine data – både de elektroniske og de fysiske.
Andre kalder at man kortlægger sine persondata. Vi laver en oversigt over alle IT-systemer i virksomheden herunder:

·        Hvor gemmes data lokalt, i skyen eller på en server.

·        Kan der gives brugerrettigheder og er der.

·        Kan man slette data fra systemet.

·        Kan man søge data i systemet hvis vi bliver spurgt om det.

·        Hvem er vores leverandør.

·        Har man en databehandler aftale.

Og et par ting mere.

2.        Udarbejd en fortegnelse over jeres behandling af persondata.
Man skal lave en fortegnelse over de behandlinger i virksomheden og den skal indeholde oplysninger om:


·        Formål med behandlingen af persondata

·        Kategori af registrerede persondata

·        Kategori af modtagere oplysninger videregives til

·        Oplysning om persondata overføres til tredjelande

·        Slettefrister- hvad er politikken for at gemme persondata

·        Navn og kontaktdata på den dataansvarlige


Man skal også have registreret hvilken hjemmel man har til at gemme/bruge data det vil sige hvordan man har fået lov til at arbejde med persondataene. Desuden skal man have lavet en beskrivelse af de tekniske og organisatoriske foranstaltninger man har lavet omkring sikkerheden i virksomheden. Alt sammen noget vi via csmart.dk kan hjælpe virksomhederne igennem.

3.     Sørg for at have databehandleraftaler på plads.

Alle de leverandører der behandler persondata på vegne af virksomheden, skal man have indgået en databehandler aftale med. Denne databehandleraftale skal opbevares elektronisk. Det er aftaler med f.eks. leverandøren af det lønsystem i bruger, dem der hjælper med nyhedsbreve, hvis I opsamler persondata via jeres hjemmeside, hvis ansøgninger sendes til en headhunter og i mange andre tilfælde. 

4.     Overhold oplysningspligten til dem i behandler data omkring.

Det er vigtigt at man husker at oplyse at man behandler data når man modtager nogle data. For eksempel hvis en ansøger sender en ansøgning, så er det nemt at opfylde oplysningspligten, ved at bekræfte modtagelsen og samtidig oplyse hvor længe, og hvordan man behandler de modtaget persondata. Det handler om at opsætte nogle rutiner og processer til, at hjælpe i daglig dagen.

5.     Få udarbejdet nogle politikker for behandling af persondata.
Udover fortegnelsen skal man have beskrevet nogle politikker omkring hvordan man behandler og opbevarer persondata i virksomheden. De fleste virksomheder skal have udarbejdet:

·      Persondatapolitik – beskriver håndtering af persondata i virksomheden.

·      Cookiepolitik – beskriver hvordan man arbejder man data indsamlet via cookies.

·      IT-sikkerhedspolitik – beskriver den interne IT-sikkerhed.

6.     Arbejd med jeres datasikkerhed.

Langt de fleste datatab sker på grund af manglende datasikkerhed eller respekt for datasikkerheden. Vi anbefaler derfor, at man sørger for at brugerne er instrueret i at have respekt for at de data de arbejder med, er deres data og at de skal passe på dem. 

Nogle mener, at datasikkerhed er omdrejningspunktet i GDPR og det vil jeg gerne give dem ret i. Så hvis man skaber nogle gode og sikre rammer omkring brugen af IT så er man kommet langt. Derfor bør alle kunne sige ”tjek” til følgende punkter:

·      Alle arbejdes stationer har installeret antivirus.

·      Alle arbejdes stationer kontrolleres jævnligt for at alle opdatering til operativsystemet er installeret.

·      Adgang til alle PC’ere og mobile enheder er beskyttet med kode/password.

·      Alle brugere skifter password jævnligt (lav interne regler herfor).

·      Følsomme og fortrolige data sendes krypteret (sikkert).

·      At alle i virksomheden ved hvad de skal gøre hvis de oplever et datatab.

Vi kan også tilbyde nogle produkter som kan hjælpe jeres virksomhed med at få styr på de ovennævnte punkter uden at det nødvendigvis koster en formue. Antivirus beskyttelse som samtidigt overvåger opdatering af operativsystemet kan vi levere fra kr. 22,- pr måned pr bruger (excl. moms).

7.        Kend din risiko
Alle har et svagt punkt. Find dit / dine og arbejd med dem. Ved at kende de svage punkter, så ved du også hvordan du skal agere, såfremt et af dem er årsag til at du lider et datatab.


Hvis du i din primære forretning behandler persondata i store mængder, så skal du udarbejde en konsekvens- og risikovurdering, der kortlægger, om jeres håndtering vil medføre en høj risiko for den/de registreredes rettigheder. 

I er også forpligtet til at beskrive, hvad I agter at gøre, hvis I skulle være uheldige at lække date, eller hvis en af jeres registrerede beder om indsigt i sine data. 

8.        Orienter dit personale om jeres adfærd og omgang med persondata.
Husk en jævnlig orientering om hvordan i behandler data i forskellige situationer. Det drejer sig meget om jeres adfærd og jeres respekt for de data i behandler.


Det skal ske med omtanke – der findes ingen systemer der kan klare det alene. 

Tag nogle eksempler fra pressen og snak om dem i virksomheden eller få os til at komme forbi. I vores webportal har vi også for nylig gjort det muligt at lave en liste over opgaver og kontroller man skal udføre fra tid til anden for at holde sig ajour. 

9.     Brug din sunde fornuft og tænk dig om.

I bund og grund så kommer man langt ved at bruge sin sunde fornuft og tænke sig om. Dog kræver Datatilsynet stadigvæk, at man også har udarbejdet en dokumentation, som skal foreligge elektronisk. Datatilsynet kommer ikke umiddelbart på uanmeldt besøg. Som det har været hidtil så varsler de et besøg med en frist på 3-4 uger. 

De spørger i forbindelse med varslingen, om en række dokumenter som de gerne vil have tilsendt med et kortere varsel. Brug ikke din tid på at frygte et besøge, men brug tiden på, at gøre det der skal til for at overholde reglerne.

Hvis du vil høre hvordan vi kan hjælpe dig på plads så er du velkommen til, at kontakte os på info@compliance-partners.dk eller telefon 69 1356 69.

Hjælpen ligger ikke så langt væk.

by Christian Kofoed Christian Kofoed Ingen kommentarer

Antivirus – hvad har det med GDPR at gøre?

I den nye persondataforordning er der fokus på, at man skal sikre data både fysiske og digitale data.    

Men hvordan sikrer man sine digitale data?  Der er mange steps at tage:

1.     Installation af antivirus – som vi omtaler nedenfor.

2.     Password og adgangsbeskyttelse til data

3.     Opbevaring af data med funktionsadskilt adgang

4.     Backup af data

Hvorfor er det vigtigt at have et antivirusprogram på sin computer? Der er der forskellige grunde til.

Med et antivirusprogram kan man sikre sin computer mod at blive inficeret med virus, da mange computer rent faktisk er inficeret før et angreb får reel betydning. Med et antivirus program kan man sikre, at ens computere ikke bliver inficeret og angrebet. Et angreb kan medføre at personlige oplysninger bliver offentliggjort, identitetstyveri, at personlige data bliver stjålet, eller at computeren simpelthen ikke fungerer længere.

Ved at besøge forskellige hjemmesider kan man få virus på sin computer. Med et antivirusprogram scannes hjemmesiden og det kan derfra udledes om det er en sikker side at besøge. Programmet er altid tændt, så den scanner hele tiden din computer.

Virus kan også komme fra mails du modtager. Hvis man åbner en vedhæftet fil fra en afsender man ikke kender, så kan man risikere at blive hacket, og ens computer vil blive inficeret med virus.

En lille bonus ved at bruge det antivirus program vi anbefaler, ESET Antivirus, er at det også hjælper med at holde Pc’en opdateret med alle de opdateringer der kommer fra Microsoft til Windows. Hvis man som kunde ønsker det kan vi hjælpe med at alle opdateringer til Windows bliver installeret – hvis I har ESET Antivirus via vores Management Portal. At spare et antivirusprogram væk kan i længden være en dyr fornøjelse. Fx har mange virksomheder tegnet forsikringer mod f.eks. indbrud i deres Netbank, hvilket for det meste forudsætter at der er installeret antivirus for det meste.

Hos Compliance Partners kan et antivirus program anskaffes for kr. 22,- ekskl. moms pr måned pr PC. Vi opkræver pr kvartal eller år – afhængig af den aftale vi laver.

Hvis du vil høre hvordan vi kan hjælpe dig, er du velkommen til at kontakte os på info@compliance-partners.dk eller telefon 69 1356 69.

by Christian Kofoed Christian Kofoed Ingen kommentarer

Sikker mail

Den 1. januar 2019 blev det et lovkrav, at virksomheder og det offentlige skal sende mails til deres kunder, klienter, borger m.m. via sikker mail hvis mailen indeholder følsomme eller fortrolige personoplysninger.

Det vil sige, at når man sender og modtager følsomme personoplysninger, skal være sikker på, at de bliver sendt sikkert, så de ikke havner i de forkerte hænder.

Hvad er så personoplysninger? De findes i to kategorier: de almindelige og de følsomme.

Almindelige personoplysninger kan være navn, fødselsdato, adresse, informationer om økonomi, arbejdstelefonnummer, skatteoplysninger, familieforhold, CV, eksamen, stilling, informationer om økonomi osv.

Følsomme personoplysninger kan være race, religion, etniske oprindelse, genetiske data, helbredsoplysninger, seksuel orientering, osv. CPR-nummer tilhører begge kategorier. Ved opbevaring af CPR-nummer er det en almindelige personoplysning, men når vi sender den, skal den håndteres som en følsom personoplysning.

De følsomme personoplysninger er dem, som man skal være opmærksom på, når man sender og modtager mails. Det gælder også fortrolige personoplysninger/kontrakter.

Vi hører desværre mange virksomheder sige, at de sjældent eller aldrig sender følsomme eller fortrolige personoplysninger. Nedenfor et par eksempler:

  • En virksomhed er i dialog med sin advokat omkring en eventuel afskedigelse af en medarbejder. Advokaten vil gerne have ansættelseskontrakt og andre dokumenter omkring medarbejderen. Disse data er typisk en god blanding af følsomme og fortrolige personoplysninger. Alle informationer skal sendes sikkert.
  • Virksomhedens revisor vil i forbindelse med udarbejdelse gerne have tilsendt en kopi af ansættelseskontrakter og lønsedler på en stribe medarbejdere. Alle informationer skal sendes sikkert.
  • Virksomheden er i dialog med sit forsikringsselskab omkring en sag i forbindelse med en arbejdsulykke. Alle informationer skal sendes sikkert.
  • En kommende medarbejder skal have tilsendt en ansættelseskontrakt. Kontrakten behøver ikke indeholde følsomme personoplysninger, men den skal sendes sikkert alligevel. Det er en fortrolig aftale mellem de to parter.

Mon ikke også din virksomhed har brug for at sende en sikker mail? 

Når man sender med sikker mail, så er mailen krypteret og signeret. Det vil sige, at hvis de skulle blive sendt til en forkert modtager, kan de ikke læses.

Kryptering vil fremstå ulæselig, hvis den kommer i de forkerte hænder, så det er kun den rette modtager som kan læse indholdet af mailen.

Signering (underskrift) forsikrer modtageren for, at mailen er sendt og skrevet af dig. Man skal nemlig bruge sit NEMID for at kunne sende.

Vi tilbyder forskellige løsninger til håndtering af sikker mail og giver gerne et godt råd om hvilken løsning vi mener er bedst for jeres virksomhed.

De to løsninger som vi pt arbejder mest med er Sikker@Mail og Mircosoft Office 365 Azure Information Protection. Enkelte virksomheder kan faktisk have fordel i at bruge dem begge.

Nedenfor har vi listet nogle af produkternes funktioner op ved siden af hinanden:

Vi har erfaringer med implementering af begge løsninger. Sikker@Mail løsningen koster fra ca. kr. 55,00 pr bruger pr måned (i direkte omkostninger) og Microsoft Office 365 AIP koster kr. 20,00 pr bruger pr måned. De to løsninger tåler heller ikke direkte sammenligning i deres funktionalitet.

Kommer man ud for et sikkerhedsbrud, er det vigtigt at man indberetter det til datatilsynet inden for 72 timer.

Man kan risikere en bøde op til 4% af ens årsomsætning, hvis datatilsynet konkluderer, at der ikke har været tilstrækkeligt sikkerhed. Det kan fx være, hvis ens mails ikke var krypteret.

Hvis du vil høre hvordan vi kan hjælpe dig, er du velkommen til at kontakte os på info@compliance-partners.dk eller telefon 69 1356 69.

Top