Verksamhet
Dataskydd Det här gäller enligt dataskyddsförordningen Informationssäkerhet BehörighetsstyrningBehörighetsstyrning
Genom behörighetsstyrning avgör ni vilka personuppgifter och funktioner som en användare ska kunna ta del av och använda. Korrekt behörighetsstyrning är en grundläggande säkerhetsåtgärd för att obehöriga inte ska få tillgång till personuppgifter som behandlas i verksamheten.
En behörighet definierar vilka uppgifter en användare har tillgång till och vad medarbetaren kan göra med uppgifterna. Befogenhet handlar om ifall medarbetaren får behandla uppgifterna och i så fall hur och när.
Varför behövs behörighetsstyrning?
Enligt de grundläggande principerna i artikel 5 i dataskyddsförordningen (GDPR) ska personuppgiftsansvariga bland annat säkerställa lämplig säkerhet för personuppgifterna. Det inbegriper skydd mot obehörig eller otillåten behandling. Därför behöver ni vidta säkerhetsåtgärder för att skydda uppgifter från obehörig åtkomst från såväl egna medarbetare som externa aktörer.
Hur ska ni arbeta med behörighetsstyrning?
Nedan följer några exempel på vad som förväntas av er som verksamhet när det gäller behörighetsstyrning för att begränsa riskerna med er personuppgiftbehandling.
- Analysera ert behov
Genomför en behovs- och riskanalys för olika roller eller användare innan ni tilldelar behörigheter. Analyserna ska utgå ifrån vem som behöver åtkomst till vilka uppgifter och när. Ta hänsyn till riskerna med en alltför vid behörighet. - Dokumentera er analys
Dokumentera och följ upp behovs- och riskanalyserna för att fånga upp eventuella förändringar i behov eller risker. - Principer för åtkomst
Varje användare ska tilldelas en individuell behörighet för att komma åt personuppgifter. Begränsa åtkomsten till vad varje medarbetare behöver för att kunna utföra sina arbetsuppgifter. - Använd behörighetsnivåer
Det kan behövas olika behörighetsnivåer och skikt för att begränsa åtkomsten till personuppgifter. Säkerställ att tilldelning och användning av privilegierade åtkomsträttigheter, som till exempel administratörsrättigheter, begränsas och kontrolleras. - Rutiner för hantering av behörigheter
Rutiner och instruktioner behövs för de medarbetare som ska tilldela, granska, förändra och avregistrera behörigheter samt vilka åtkomstmöjligheter respektive behörighet innebär. - Informera användarna
Användarna behöver instruktioner som anger hur och när de får använda sina tilldelade behörigheter. - Dela upp arbetsuppgifter
Dela upp momenten vid behörighetstilldelning så att inte samma medarbetare beställer, tilldelar och godkänner behörigheter. - Granska behörigheter
Ni behöver ha en process för att registrera och avregistrera användares behörigheter. Förändras en medarbetares arbetsuppgifter kanske ni även behöver justera behörigheterna. Följ upp behörigheter regelbundet. - Dokumentera
Dokumentera förändringar av behörigheter så att ingen har tillgång till mer information än nödvändigt.