Zoom, Slack, Dropbox og hastverk

Covid-19-utbruddet har tvunget oss over på Zoom, Slack og Dropbox i et tempo preget av hastverk. Er dette alltid greit, spør Kristin Haram Førde og Kristian Foss, partnere i Bull & Co Advokatfirma.

Zoom, Slack, Dropbox og hastverk - Bull & Co Advokatfirma AS

Vår eksplosive og plutselige bruk av hjemmekontorløsninger øker virksomhetenes sårbarhet. Cyberangrep øker i omfang under Covid-19 og angrepene kan potensielt gi uvedkommende tilgang til kritiske data. Når vi i tillegg installerer løsninger for digitale videomøter, kan virksomhetene potensielt åpne store sikkerhetshull.

Nasjonale sikkerhetsmyndighet (NSM) publiserte 8. april et oppdatert varsel om økt digital risiko i forbindelse med Covid-19 hvor det oppfordres til økt årvåkenhet og bevisstgjøring rundt IKT-sikkerhet, særlig knyttet til midlertidige hjemmekontorløsninger. Når virksomhetene kjenner sikkerhetsrisikoen i bruk av digital kommunikasjon, må de være seg sitt ansvar bevisst og sørge for sikre løsninger for sin bruk.

Noen av videomøteløsningene på markedet er blitt kritisert for manglende åpenhet om sikkerhetstiltak, manglende informasjon om lokasjon av datasenter, data som har vært sendt via Kina, manglende opplysninger om tredjeparters tilgang til lagrede data, mangel på databehandleravtale og så videre. Manglene reduserer sikkerheten og forutberegneligheten, som kan gi konsekvenser som virksomheten gjerne vil unngå. Bedriftshemmeligheter blir avslørt, konkurransefortrinn går tapt og forhandlingsresultater forverres. Personopplysninger kommer på avveie, med risiko for personvernet, tap av data og omdømme, søksmål og overtredelsesgebyr.

Overtredelsesgebyr ilegges etter GDPR, men også etter sikkerhetsloven og NIS-loven. Lovene stiller krav til ansvarlighet og egnet sikkerhetsnivå, og virksomhetene kommer i ansvar dersom pliktene ikke etterleves. GDPR artikkel 32 stiller for eksempel krav til "egnede tekniske og organisatoriske tiltak" for godt sikkerhetsnivå. Brudd på plikten til egnede tiltak for informasjonssikkerhet kan medføre erstatningssøksmål, ikke bare fra de registrerte men også fra kunder og samarbeidspartnere som får sine data tapt og misbrukt. Har uaktsomheten medført et tap, vil virksomheten raskt bli erstatningsansvarlig.

Et sikkerhetsbrudd kan påføre store skade på en virksomhet, ikke bare på grunn av tapte systemer og data men på grunn av at virksomhetens operasjoner blir avbrutt over en periode. Når virksomhetskritiske data og personopplysninger kommer på avveie, vil det ha store potensiale for tap.

Fem steg for å unngå sikkerhetsbrudd

For å unngå sikkerhetsbrudd bør virksomhetene minimum gå igjennom disse stegene før samarbeidsløsningen tas i bruk:

1. Bli kjent med løsningen. Det første virksomheten må gjøre, er å finne en løsning som passer for sitt bruk. Det er enorm forskjell på å ta i bruk videomøteløsninger til en digital fredagspils og å benytte slike som erstatning for fysiske styremøter. Løsningen må sikre personvernet og være informasjonssikkert.

2. Ta vare på dataene. Vurder hva løsningen skal benyttes til. Hvilke type møter som skal avholdes, deling av dokumenter og behandling av data, avgjør sikkerhetsnivået. Forsøk å minimere bruk av data. NSM råder virksomheter med midlertidige løsninger til å begrense chat-funksjonen og å ikke dele dokumenter under møtene, da det ofte er uklart hvor, hvordan og hvor lenge slike dokumenter blir lagret.

3. Gjør en sikkerhetsanalyse. Når implementering av gode løsninger haster, er virksomhetene sårbare. Følg rådene fra NSM, og gjør en sikkerhetsanalyse. Først identifiseres dataene som kan bli eksponert. Deretter gjennomføres en risikovurdering for å avklare om leverandørens sikkerhetstiltak er tilfredsstillende. Vurder bruk av sikkerhetsrådgiver. Sørg for mulighet til å gjøre revisjoner eller få tilgang til revisjonsrapporter, og dokumenter din analyse.

4. Krev en databehandleravtale. Virksomheten må alltid inngå en databehandleravtale med leverandøren. Avtalen skal tilfredsstille kravene i GDPR. Kravene til lovlig overføringsgrunnlag, dersom dataene flyter ut av EØS, må oppfylles. Sjekk alltid opp at leverandøren har tilfredsstillende sikkerhetstiltak på plass i henhold til GDPR og garanterer etterlevelse. Vurder også listen over underleverandører og at ansvaret for disse ligger hos leverandøren.

5. Organiser deg. Sørg for at de ansatte kjenner og kan bruke løsningen, og er kjent med sikkerhetsrisikoer og -tiltak. Rutinen skal gjøre ansatte bevisste på at de begrenser bruken av personopplysninger og kritiske data. Gi informasjon til de registrerte om dette er relevant, og oppdater personvernerklæring og databehandleravtale med egne kunder. Sørg for å innlemme rutine for bruk av digitale samarbeidsplattformer i virksomhetens internkontroll og IKT-instruks.

Et av de viktigste kravene i GDPR er kravet til ansvarlighet. Virksomheten skal utvise ansvarlighet i sin omgang med data. Virksomheten, og i siste instans daglig leder og styret personlig, er ansvarlige for manglende sikkerhet. Har virksomheten tatt grep som vist over er risikoen for tap og for å havne i ansvar betydelig minsket.

Artikkelen ble publisert i Finansavisen 20.04.2020

Ta gjerne kontakt med personvernadvokatene Kristin Haram Førde eller Kristian Foss for mer informasjon