Databehandling

Databehandling dækker over alt, der sker med data: indsamling, opbevaring, visning, ændring, deling og sletning. Når en virksomhed bruger en platform til at håndtere oplysninger, optræder den typisk som dataansvarlig, mens leverandøren af platformen er databehandler og behandler oplysninger på vegne af kunden.

Forholdet reguleres af en databehandleraftale (DPA), der fastlægger, hvilke data der behandles, til hvilke formål, og hvilke sikkerhedsforanstaltninger databehandleren skal opretholde. Aftalen sikrer, at data kun bruges til det aftalte, og ikke til andre formål.

GDPR

GDPR (databeskyttelsesforordningen) er det fælles europæiske regelsæt for behandling af personoplysninger. De bærende principper er, at oplysninger skal behandles lovligt og gennemsigtigt, indsamles til klare formål, begrænses til det nødvendige, holdes korrekte, ikke gemmes længere end nødvendigt, og beskyttes med passende sikkerhed.

I praksis betyder det blandt andet, at data skal opbevares inden for rammer, der lever op til EU-reglerne, at der skal være styr på, hvem der har adgang, og at den registrerede skal kunne udøve sine rettigheder.

Kryptering

Kryptering beskytter data ved at gøre dem ulæselige for uvedkommende. Den anvendes typisk to steder:

  • Under transport: data krypteres, mens de sendes mellem din browser og serveren, så de ikke kan aflæses undervejs.
  • I hvile: data krypteres, når de ligger lagret, så de ikke kan læses direkte fra lagringen uden de rette nøgler.

Kryptering er et af de mest effektive enkelttiltag mod, at data kommer i de forkerte hænder, både ved en fejl og ved et målrettet forsøg.

Adgangsstyring

Adgangsstyring handler om at sikre, at kun de rette personer kan se og ændre data. Centrale elementer er:

  • Roller og rettigheder: brugere får kun adgang til det, deres rolle kræver.
  • Mindste privilegium: som udgangspunkt gives den mindst mulige adgang, der løser opgaven.
  • Stærk autentificering: adgang beskyttes med stærke logins, gerne med to-faktor.
  • Adskillelse af kunders data: den enkelte virksomheds data holdes adskilt, så én kunde ikke kan tilgå en andens.

Opbevaring af data

Hvor og hvor længe data opbevares, har betydning både for sikkerhed og for efterlevelse af reglerne. Det vigtige er, at opbevaringen sker inden for EU eller på et tilsvarende sikkert grundlag, at der tages backup, og at data ikke gemmes længere end nødvendigt. Når et kundeforhold ophører, slettes eller anonymiseres data inden for en defineret periode, medmindre andet kræves af lovgivningen, for eksempel bogføringslovens opbevaringskrav.

Brugerrettigheder

GDPR giver den enkelte en række rettigheder, som virksomheden skal kunne efterleve:

  • Indsigt: retten til at få at vide, hvilke oplysninger der behandles.
  • Berigtigelse: retten til at få rettet forkerte oplysninger.
  • Sletning: retten til at få slettet oplysninger, når de ikke længere er nødvendige.
  • Dataportabilitet: retten til at få udleveret sine data i et anvendeligt format.
  • Indsigelse: retten til at gøre indsigelse mod bestemte behandlinger.

Sikkerhedsprocedurer

Teknik alene gør ikke data sikre. Det kræver også faste procedurer, der følges i praksis:

  • Løbende sikkerhedskopiering og afprøvet gendannelse, så data kan reetableres ved tab.
  • Logning og overvågning, så usædvanlig aktivitet kan opdages.
  • Beredskab ved brud, så et sikkerhedsbrud håndteres og anmeldes inden for de gældende frister.
  • Begrænset medarbejderadgang, hvor support kun tilgår kundedata efter behov og med tilladelse.

Kort fortalt

Sikker databehandling bygger på et klart aftalegrundlag (DPA), efterlevelse af GDPR, kryptering under transport og i hvile, stram adgangsstyring og faste procedurer for backup, overvågning og beredskab. Den registrerede skal samtidig kunne udøve sine rettigheder til indsigt, rettelse og sletning.

Denne artikel er generel information og ikke juridisk rådgivning. Se Hours' egen sikkerheds- og privatlivspolitik samt databehandleraftale for de konkrete vilkår, der gælder for din brug af platformen.