Inspiration om GDPR og data

Her finder du en helt ny artikel: En kartläggning i Danmark kring datahantering och risker för både privata och offentliga organisationer, samt andra artiklar om GDPR och dataskydd som kan inspirera dig och hjälpa din organisation framåt.

Om Data & More

Data & More er et dansk GDPR-foretagende, som siden 2017 har hjulpet organisationer med at finde og rense risikofyldte og ulovlige data - og se til, at det ikke sker igen.

Er du nyfiken på risici i dine data - så tilbyder vi gratis datascanning med en rapport (Klik på billedet for at se et eksempel på rapporten):

Du er altid velkommen til at bo i et møde med mig, hvis du vil høre mere eller vil samarbejde med os. Du kan skrive til mig på abs@dataandmore.com eller så kan du bo i et møde direkte her: https://meetings.hubspot.com/abs

Andreas Strøbek, partner, Data & More

Hvad kan Sverige lære af Danmarks dataanalyse?

Data & More lavede under 2024 en kartläggning i Danmark kring datahantering och risker för både privata och offentliga organisationer. Kartläggningen baserades på en scanning och upprensning av över 1 000 000 000 e-postmeddelanden och dokument på filservrar, OneDrive och SharePoint - det som ofta kallas ostrukturerad data. Vi har delat resultatet af vores analyse ved et flertal konferencer, præsentationer, netværkstræf og i white papers i Danmark.

Men er läget lika allvarligt i Sverige?

Under 2024 gennemførte Data & More en omfattende analyse. Resultatet var tydeligt: alt for mange data ligger stadig og udgør en betydelig sikkerhedsrisiko for alle typer organisationer - både offentlige og private - hvilket betyder en sikkerhedsrisiko også for privatpersoner som dig og mig.

Mængden af data, som håndteres og lagres af både offentlige og private organisationer, er enorm - og vokser desuden eksponentielt hvert år. Datamængden øges med 15-25 % årligt, og da data sjældent udsendes, øges risikoen betydeligt. Denne hurtige vækst af data medfører øget hot i form af dold lagring samt okontrollerad spredning af følsomme oplysninger. Det forsvårer overholdelsen af GDPR og risikerer at underminere organisationens tillid hos kunder og interessenter - og i værste fald kan information lække i et dataintrång.

I en typisk organisation med 100 ansatte findes der i gennemsnit over 2,5 millioner dokumenter og mejl, hvoraf cirka 150 000 dokumenter og mejl ej opfylder kravene i henhold til GDPR eller interne datapolitikker. Det svarer til ca. 3-7 % af alle data - information som umiddelbart burde raderes eller arkiveres. I takt med at datamængden vokser med cirka 15-25 % per år bliver det alt sværere at manuelt håndtere og beholde kontrollen over ostruktureret information.

Virksomheder og myndigheder har taget kontrollen over deres data, og det er data, som du og jeg - som privatpersoner, kunder eller tidligere medarbejdere - en gang har afgivet fra os i tillid. Nu ligger den ofte kvar, bortglømt og ofte udspredt over forskellige platforme.

Ud over følsomme persondata findes der også fortrolige og kritiske dokumenter: oplysninger om IT-sikkerhed, kodeord, infrastruktur, forretningshemmeligheder med mere - alt sammen opbevaret på en bestemt plads eller i en bestemt sammenhæng. Hvis disse oplysninger havner i en eller anden situation, kan dette få alvorlige konsekvenser, både for virksomheden og samfundet i stort. NIS2 øger ganske vist bevidstheden omkring cybersundhed, men spørgsmålet forbliver:

Hvad gør vi med alle disse data, som allerede ligger og skräpar?

Känsliga data omfattar information som möjliggör identifiering av enskilda individer - exempelvis namn, e-postadresser, telefonnummer, personnummer, kund- och medarbetare-ID:n, samt information om hälsa, facklig tillhörighet, etnicitet eller religiös övertygelse.

Udover disse findes der særligt beskyttelsesværdige oplysninger - eksempelvis skannade ID-handlingar, löneuppgifter, lösenord i klartext och interna finansiella dokument, som kräver hög säkerhetsnivå och noggrann kontroll. Denne type information spredes ofte over flere systemer uden tilstrækkelig kontrol, hvilket øger risikoen for uautoriseret adgang og manglende overholdelse af GDPR samt interne retningslinjer.

Af alle ostrukturerede data, som vi finder gennem vores datascanning, findes hele 90 % i ansattes e-postkonton. Hver konto indeholder i gennemsnit 500-1 000 mejl med indhold, som kan klassificeres som følsomme data. Disse mejl forbinder ofte lagrade i både aktive og inaktive e-postkonton. Dessutom kan viktigt affärsvärde gå förlorat genom att viktig information och avtal blir bortglömda i e-postmappar eller delade mappar. Disse filer kan være affärskritiske, men er ofte umulige at genfinde ved behov, vilket försvårar dokumentation och ärendehantering.

E-postmeddelanden och bilagor delas ofta mellan kollegor, vilket innebär att samma känsliga information snabbt kan spridas till flera e-postkonton - och dessutom sparas på SharePoint, OneDrive och filservrar. Derfor kan en organisation aldrig være helt sikker bare for at et mejl med følsomt indhold har raderats - hvad sker der med alle andre kopior som stadig findes kvar i andre systemer? Hvis man f.eks. vil sende et gammelt CV fra en kandidat, som aldrig er ansat, må det tages bort over alt, hvor det kan findes. Det kan stadig ligge kvar hos HR-medarbejdere som deltog i interviewet, hos chefen som fik ansøgningen, hos en kollega som kendte kandidaten - og på filservern i en mapp for ledige tjenester.

Digitalisering og molntjenester kan øge effektiviteten, men også kompleksiteten af håndtering af data. Data, som flyttes til OneDrive og SharePoint uden at blive undersøgt, gør, at tidligere risici følger med til de nye platforme som Microsoft Teams eller andre typer af andre kommunikationsværktøjer. Dette er identificeret som en ny risikozone, hvor GDPR-känsliga data deles i chattfönster eller dokument sparas i chatt trådar, ofte uden mærkning eller åtkomstkontrol.

Mange organisationer mangler desuden tydelige rutiner for, hvordan personer bliver håndteret i kommunikationsværktøjets system, hvilket fører til, at private filer ofte lagres på eksterne servere tilhørende de virksomheder, som leverer systemet. Dette øger risikoen for, at følsomme data bliver tilgængelige for obehörige og indebærer både integritetsrisici og manglende overholdelse af GDPR. For at mindske disse risici kræves tydelige retningslinjer, regelbunden uddannelse og effektive tekniske beskyttelsesforanstaltninger.

En af de mest udfordrende dele at håndtere i en organisation er den klassiske filservering - især dem, der har eksisteret i mange år eller til og med årtionden. Disse er især almindelige inden for kommuner og offentlige myndigheder, men forekommer også i store private organisationer med lang historie. Filialer er ekstremt svære at rense op. Det findes sjældent en tydelig dataägare, kortstrukturen er foråldrad og rörig, og hele kataloger har ofte skapats av tidigare anställda. Resultatet er, at ingen rigtig ved, hvad der findes lagrat - men ingen vågar heller radera något, "utifall att" det skulle behövas. Disse filservrar blir till digitala öar fulla av känsliga data såsom foton av pass, körkort, lönefiler, rekryteringsregister, sjukskrivningar, excelark med data extraherade från HR- och CRM-system, personliga foton, kontrakt, kunddata och resedokument.

Vores scanninger viser, at hver 1 TB data på en filserver indeholder over 10 000 personer eller høgriskfiler, som ofte er over 5-10 år gamle og burde have raderats for längesen. Filservrar utgör därför en högrisk datamiljö som blir som ett smörgåsbord för hackare. I Danmark har vi set flere alvorlige fald, hvor følsomme oplysninger er kommet fra filservice, oplysninger, som burde have været sendt til längesedan. Det har blandet andet handlet om oplysninger som beskyttede adresser og passinformation - data som berører tusentals individer og nu sælger videre til högstbjudande.

Mange organisationer lægger deres data op i molnet, uden at de først bliver renset. Det betyder, at problemerne ikke bare bevares, men iblandes. Nu hanteras data dessutom av globala IT-jättar - vilket ger en mer oklar insyn i vem (USA?) som får tillgång till datan. Nogle organisationer forsøger at løse problemet ved at slette alle data, som er ældre end fem år. Men dette skaber et nyt problem, da visse data må spares længere, mens andre borde raderes direkte, når samtykke eller formål ophører.

Resultatet? Man reducerer måske datamængden - men risikerer at stå uden vigtige dokumenter, når de virkelig behøves.

Alle organisationer bruger mærkning og klassificering af data for tydeligt at identificere og håndtere følsomt indhold. Hvordan organisationer anvender dataklassificering varierer, og så længe er det relativt få, som har fuldt udviklede processer. I takt med øget dataintrång og skærpta EU - direktiv såsom NIS2 vokser behovet for at identificere og beskytte data som indeholder følsomme oplysninger. Ved at klassificere relevante data og anvende løsninger, der sikrer korrekt lagring og håndtering, reducerer organisationer deres risici betydeligt.

Dock kvarstår utmaningen att hantera och klassificera redan existerande data. Indsigere fra Danmark viser, at en stor udfordring er de manglende rutiner og kontroller af følsomme data og informationshåndtering i henhold til direktivet om GDPR trådte i kraft.

Trods gode intentioner viser analysen, at manuel dataregistrering har meget begrænset effekt. Dette kan bidrage til en misvisende situation over, at computerhanteringen er under kontrol, når store mængder følsom information i selve værket ligger dolt. Med ständigt ökande datavolymer krävs därför automatiserade, intelligenta lösningar som identifierar, kategoriserar, rensar och säkrar känslig data. Manuel håndtering og rensning er både tidskrævende og en kostbar opgave.

De fleste medarbejdere vil gerne gøre ret og følge de regler og politikker, som gælder i organisationen. Men det er en vigtig opgave at håndtere manualen. For det første må medarbejderne have god viden om både GDPR og organisationens interne regler for datahåndtering, for at ens kunne afgøre, hvornår data er ikke-kompatible. Herefter kræves der tid og ressourcer til manuelt at gå igennem og rense sine data.

Lad os udgå fra et hypotetisk fald:

En medarbejder, som kan alt om GDPR og international datapolitik - og desuden er verdens hurtigste til at arbejde med rensning.

Hen ska rensa en inkorg med 10 000 mejl, varav 1 500 har bilagor. Så lang tid tager det:

• Vanliga mejl: 4 sekunder per mejl (8 500 mejl)
• Mejlen med almindelige bilag: 2 minutter pr. mejl (1 000 mejl)
• Mejlen med långa eller komplexa bilagor: 6 minutter per mejl (500 mejl)

I alt over 90 timer (uden pauser) - for verdens hurtigste og mest regelmedvetne medarbejdere - bare for at få 10 000 mejl.

Og dette er bare e-mail. De fleste har betydeligt flere data lagret i SharePoint, på filservrar eller i OneDrive. Så handler det snarere om hundratals timer af manuelt arbejde for at rense op.

En af de største udfordringer for organisationer er at håndtere enkeltpersoners anmodning om registerudtræk - den klassiske spørgsmål: "Hvad ved I om mig?"

Ifølge GDPR har hvert individ ret til at få adgang til de personer, en organisation behandler om dem. Men for organisationer, der mangler det rigtige værktøj, findes der ingen tidseffektivt automatiseret måde at finde og samle i den relevante information. Det betyder, at processen må ske manuelt, hvilket ofte betyder en proces for at spørge flere medarbejdere og afdelinger samt at søge igennem system og ostrukturerede datakilder i jagt på dokument, mejl og anden information, som kan kobles til individet. Dette er både resurskrävande og komplet, hvilket desuden må slutföras inom den tidsgräns som Datainspektionen (eller annan tillsynsmyndighet) kräver.

Med rätt verktyg skulle det kunna hanteras på några minuter. Ved en anmodning om radering opstår yderligere vanskeligheder. Alle kopier af personens oplysninger skal sendes - men hvis de samme oplysninger er delt, kopieret og sparet i forskellige systemer, kort og e-postkontorer, er det umuligt at garantere, at alt virkelig er blevet sendt.

Hvem som helst har ret til at anmelde en organisation til Datainspektionen (eller tilsvarende myndighed) for manglende overholdelse af dataskyddslovgivningen.

Ved et seminar som Data & More anordnade berättade danska Datatilsynet att en tredjedel av alla inkommande anmälningar kommer från organisationens egna anställda. Orsakerna varierar - men anställda har ofta både kunskap och dokumentation för att i detalj beskriva brister i hantering av personuppgifter. Det gør det muligt at få et svar på, om organisationen har et ansvar eller ikke.

Datamængderne - især den ostrukturerede datan - har vokset sig til så stor volumen, at ledelsen i mange organisationer helt enkelt har tappet kontrollen. Mange af disse data vedrører privatpersoner - som dig og din familie - hvis opgaver burde have været behandlet i lang tid. Problemet opstår hvert år i takt med at mængden af data øges. Når man dessutom räknar in:

• Antallet af datatræk
• Ransomware-angriber
• Økade regulatoriska krav (GDPR, NIS2),

... blir det tydligt att minimering av datarisker måste bli en strategisk fråga för högsta ledningen.

Fakta skaber indsigt og prioritet. Organisationer har allerede i dag mulighed for at gennemføre en dataanalyse og få en faktabaseret rapport over efterlevnadsnivå och risker - i vissa fall helt utan kostnad. De fleste organisationer og medarbejdere vil følge loven og mindske risikoen, men uden det rigtige værktøj er det praktisk umuligt. Därför växer trycket på ledningen att agera - även om affärsnyttan är uppenbar.

- /// -

A: Har I koll på jeres fildelingssystem?

Har I oplysninger om, hvad der findes i jeres fildelingssystem? Er I bekymrede over dataintrång eller anmeldelser til Integritetsskyddsmyndigheten (IMY)? Vil I sikre, at I følger lovgivningen på området?

Få personer kan med gott samvete hålla med följande påståenden:

Vi lagrer ikke ulovlige data.
Hvis der sker en datatrængning på vores fildelingssystem, skal vi præcisere, hvilke (person)data der kan have udsendt.
Hvis det er et ransomwareangreb på vores fildelingssystem, er det ikke en risiko for, at vores virksomhedsforhold bliver ødelagt.
Bliver vi udsat for tillsyn av Integritetsskyddsmyndigheten kan vi snabbt hitta relevanta data i vårt fildelningssystem.
Fildeling er som en stor kilde: Man behøver aldrig rensa där nere - det finns ju alltid plats för en till papplåda. År efter år fylder källaren av fler lådor till slut finns det lådor som ingen längre vet vad de innehåller - eller vem som en gång lade dit dem. Det ser kanske oskyldigt ut på ytan, men bland lådorna kan det ligga känsliga uppgifter som borde ha raderats för länge sedan.

Men så kom GDPR, Ransomware og dataintrång og med det et tydeligt behov for at rense op i den digitale arv og skuld som bygger op over tid. En arv vi alle har været med og skabt, år efter år, gennem at spare mere end vi borde og radera mindre end vi må

Problemet er desværre langt større end man skulle kunne tro. Data & More håndterer dagligt over 3 000 000 000 datasæt (Excelark, pdf:er, Word-dokument, PowerPoints osv.) for at hjælpe organisationer med at følge lovgivningen og sikre respekt for data. Og det viser sig, at 3-7% af alle data uden for HR-, ärendehanterings- og ekonomisystemet er ulovlige og borde raderas .

3-7% låter kanske inte som så mycket, men när en organisation med 100 anställda har cirka 150 000 olagliga dataset - då förstår man omfattningen av problemet (gånger antalet anställda om man är fler...). Og bare et datasæt (til eksempel et Excel-ark) kan indeholde mange personoplysninger og følsomme oplysninger. Her er nogle eksempler fra virkeligheden:

Et stort forsikrings- og pensionsselskab havde et fem år gammelt Excel-ark i deres fildelingssystem med oplysninger om deres kunder, finansiel information, sygdomme, familieinformation, personnummer osv. Vi snakker om djupt personliga och känsliga uppgifter om hundratusentals personer, som var tillgängliga för alla anställda under årtionden.
Eller hvad siger om en kommune, som i forbindelse med deres årlige fastsættelse af budget havde urgamla Excel-filer med information om handikappede børn i kommunen og relaterede kostnader liggande i den gemensamma fildelningen.
Eller företaget som sparade bilder på pass och körkort från gamla kunder, som länge sedan borde ha raderats.
Jeg skulle kunne fortsætte, men pointen er, at vi udav respekt for varandras data bør se til at rense vores data inden den deles med andre - eller sätts til salg. Det her er ikke et problem, som forsvinder af sig selv.

Lykkeligvis findes der løsninger, som kan hjælpe med det tunge arbejde, da det er en altomfattende opgave at rense manuelt. Ved f.eks. at bruge en dataskanner til automatisk at skanne data kan en reel oversigt etableres over nøjagtigt, hvad fildelingssystemet indeholder, for at udsætte sine medarbejdere for stress. På den måde får man ledningens opmærksomhed og får forhåbentlig støtte til at løse problemet. Det er trods alt vores egne data, vi snakker om.

B: På vej mod molnlagring?

Hvis du planlægger at flytte dine data til molnlagring (eller skifte platform) - så er det en god idé at rense bort de data, som du ikke længere har brug for eller har ret til at lagre. Det er ikke bare logisk at lave gamle, unødvendige data - det er faktisk en hel del gode grunde til det. Her er nogle af dem:

1 - Du sparer penge
For det første sparer rensning af penge. Molntjänster kostar pengar - och priset baseras ofta på hur mycket data du lagrar och hur ofta du kommer åt den. Hvis du går op og tager væk alle de gamle data, du ikke har brug for - ja, så har du mindre data at flytte. Det gør, at både omkostningerne bliver lavere, når du flytter dine data og for selve lagringen i molnet. Se det som at slippa betala hyra och slippa förvara saker du aldrig använder ändå.

2 - For miljøns kranium
At flytte og lagre data går ud over miljøet. Hver håndtering eller lagring af et e-postmeddelande, en bilaga, filer på filenheter etc, kræver strøm. Hur mycket Co2 beror på flera faktorer, men enligt Berners Lees bok "The Carbon Footprint of Everything" är mängden Co2 mellan 30 gr till 5 kg för endast 100 mejl... Lägg sedan ihop hur många mejl du har - och kom ihåg dina data på fildeling.

3 - Minimer forretningsrisikoen
At lagre gamle data indebærer en høj forretningsrisiko, da den ofte indeholder følsomme personoplysninger og affärskritiske data. At forvare disse data, som du ikke længere behøver og som ligger på felten, eller som til og med kan være dybt ulovligt ifølge Integritetsskyddsmyndigheten, er en betydelig forretningsrisiko. Mange anmeldelser til Integritetsskyddsmyndigheten kommer faktisk fra de ansatte selv, som er langt fra tilfredse med, hvordan organisationen (ledelsen) prioriterer efterlevnad af lovgivningen. Sker det en datatrængsel, og det findes ikke nogen oversigt over organisationens data - så kan det slutte med at massor af din og min data pludselig sælger videre.

4 - Gør det effektivt og spar tid
Ofte er man ikke interesseret i, at det helt enkelt tager lang tid. I en hektisk hverdag er det ikke lige det, der står højest op på at gøre-listan. Men Integritetsskyddsmyndighetens krav på radering har gjort at nye typer af løsninger er kommet ud på markedet - løsninger som effektivt kan skanne, identificere og radera data enten gennem at inkludere medarbetaren eller automatisk, afhængig af hvordan man vil håndtere raderingen. Ser man på, hvor meget tid man sparer som organisation - er det ofte en god løsning på et ellers irriterende og sværhanterligt problem.

5 - Minimera tiden for flytning af dine data
Jo flere data du har, desto længere tid tager det at flytte dem. Gennem at blive af med de data, du ikke behøver, kan hele processen gøres hurtigere. Dette indebærer mindre driftstop for din organisation og en hurtigere overgang til den nye opsætning.

6 - Kom ihåg alle data - ikke bare dem på overfladen
Du skal have kontrol over alle dine data, og ikke bare de som er lette at rense. Der kan findes masser af data, som kan vises i mejl, pdf-bilag, i billeder, Excel-ark og såklart i almindelige dokumenter. En eneste Powerpoint-præsentation med fine grafer og budgetforslag for 2019 kan til eksempel indeholde et indbygget blad med kommunens alle udgifter (inklusive personnummer og detaljeret information) om kommunens funktionshindrade borgere.

7 - Etablering af rulle og ansvar omkring data
At flytte data til molnet er også en god chance for at få orden på dine data. Med tiden har din filthed sikkert blevet en enda röra med föråldrade filer, dubbletter, felplaceringar etc. Ved at rense inden du flytter dine data, sikrer du, at kun relevante data flyttes - men du bør også indføre roller og ansvar for håndtering af data.

8 - Undvik at alt bliver hända igen
I samarbejde med flytten bør du selvfølgelig have etablerede metoder, værktøjer og tildelt ansvar for at det hele ikke skal ske igen. Sverige er et i stor grad digitaliseret land, og mængden af data i organisationer øges hver dag.

Rensa op dine data, før du flyver til molnet - det er logisk, du sparer tid og penge, og det er godt for miljøet. Slutligen, fastställ nödvändiga åtgärder så att det hela inte händer igen. Vi har et fælles ansvar for at rense vores digitale arv og vores gamle dataskulder - også i en stresset hverdag. En stor del af informationen handler trods alt om dig og mig.

C: Lyckas med Microsoft Purview

Mange organisationer tester Microsoft Purview for at få bedre kontrol over sine data, men må ofte gå op efter en tid. Purview kræver, at du selv bygger og vedligeholder en avanceret søgestruktur - noget som kan blive både komplet og felbenäget. Når det siden er dags at radere data, sker det ofte "blint", uden at du med sikkerhed ved, om raderingen virkelig har gennemført korrekt.

Men det findes hopp. De hyppigste udfordringer med Purview går at løse - og vi viser hvordan: https://hubs.ly/Q03nwkFK0

D: Dataläcker - är ni förberedda?

Se til at era beredskapsplaner innehåller tydliga rutiner för hur ni snabbt och korrekt identifierar vilken data som har läckt - om olyckan är framme.

Med det rigtige værktøj kan du handle direkte, kommunikere sagligt med berørte personer og håndtere hændelser på et ansvarsfullt sätt utifrån faktiskt innehåll i dataläckan - inte gissningar.

Data & More hjælper organisationer, der er ramt af dataintrång, med hurtigt at få fuld indsigt i hvilke personlige identifikatorer og følsomme oplysninger, der er lækket ud. Vi kan også bistå med at identificere om affärskritisk data eksponerats.

Men det bedste råd er stadig det klassiske: "Töm bilen innan tjuven gör det."

Ved at rense følsomme og gamle data i forvejen mindsker du konsekvenserne markant - om det værste skulle ske.

Læs mere her: https://hubs.ly/Q03nwmkm0

Få indblik i din datarisiko - effektivt og gratis

Organisationer har generelt været dårlige til at rense gamle data. Fortfarande lagras stora mängder information som enligt GDPR borde ha raderats för länge sedan - och ny data tillkommer varje dag. Det er bagsiden af et digitalt samfund. Vi påvirker alle, både som individer når vores følsomme personer havner i fel hænder, og som organisation når Integritetsskyddsmyndigheten knackar på - eller når vi havner i medier.

For at hjælpe med at sikre organisationer og os alle som individer tilbyder vi nu gratis skanninger. Det er præcis samme type løsning som vi ellers sælger - og som håndterer over 3 000 000 000 mejl, bilag, dokument mm hver dag. Det er bare gratis.

• Kom igång på några minuter - ingen installation krävs
• Automatisk genomsøgning af din organisations e-postmeddelelser
• Skanningen bygger på myndighedernes GDPR-regler
• Løsningen er efter indhold under stor risiko, som skulle katastrofe i tilfælde af en dataläcka
• Saklig risikooverskridelse, som kan lade sig gøre
• Ingen i din organisation har adgang til den skannede information - ikke ens du
• Følg dine nøgletal, tendenser og risici over tid.
• Leverandøren er fra Skandinavien og er ISAE 3402 og GDPR 3000 certificeret
• Alle juridiske dokumenter (databehandlingsaftaler osv.) indgår

Själva skanningen kan ta 1-3 veckor beroende på hur många konton som behöver skannas och hur mycket data det finns. Hvis du er interesseret i en hurtigere eller større skanning - eller hvis der findes andre typer af data, du vil skanne, så skriv til mig på abs@dataandmore.com