Sårbarhedsstyring

Datatilsynet tilføjer to konkrete sikkerhedsforanstaltninger for at bremse hackingrelaterede brud: styring og vedligehold af software samt netværkssegmentering. IoT-enheder som overvågningskameraer udpeges som risikopunkt. Virksomheder bør nu segmentere, patche og dokumentere kontroller.

Datatilsynet retter kritik mod Digitaliseringsstyrelsen for ikke at dokumentere en særskilt risikovurdering af JavaScript i MitID. Tilsynet kræver, at kendte misbrugsscenarier adresseres, og at passende sikkerhedsforanstaltninger dokumenteres efter GDPR ved brug af standardteknologier.

Datatilsynet kritiserer en databehandler for at have eksponeret personoplysninger i en ejendomshandelsplatform via browserens DevTools. Myndigheden slår fast, at data ikke må ligge i kildekode eller kommentarer, og at manglende tests udgør brud på GDPR art. 32 og kræver skærpede foranstaltninger.

Datatilsynet kritiserer et universitet for utilstrækkelig adgangskontrol i et IT-system, der i en ukendt periode eksponerede medarbejderoplysninger. Afgørelsen fremhæver krav om ændringsstyring, efterfølgende test og løbende kontrol af brugeradgange efter GDPR art. 32.