GDPR spesifiserer at behandlingsansvarlige og databehandlere må iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå for personopplysninger som er tilstrekkelig for risikoen.
Følgende informasjon angir grunnleggende forholdsregler som bør vurderes av virksomheter som behandler personopplysninger (dvs. behandlingsansvarlige og databehandlere). Det tar ikke sikte på å gi en fullstendig liste over tiltak som kan iverksettes for å beskytte personopplysninger i alle mulige sammenhenger. Behandlingsansvarlige og databehandlere må tilpasse disse tiltakene til konteksten (med tanke på den tekniske tilstanden, behandlingskonteksten og risikoen for enkeltpersoner).
Sikkerhet: Hva står på spill?
Konsekvensene av manglende sikkerhet kan være alvorlige: Virksomheter kan få omdømmet sitt svekket, miste forbrukernes tillit, måtte betale store summer for å gjenopprette systemer etter en sikkerhetshendelse (for eksempel etter et databrudd) eller få aktiviteten sin stoppet. Det er i interessen til både enkeltpersoner og virksomheter som behandler personopplysninger at personopplysningene blir tilstrekkelig sikret.
For å vurdere risikoene som oppstår ved hver behandlingsaktivitet, er det først tilrådelig å identifisere den potensielle innvirkningen på de berørte enkeltpersonenes rettigheter og friheter. Mens virksomheter må beskytte dataene sine (uavhengig av om det er personopplysninger eller ikke) for sin egen interesse, fokuserer den følgende informasjon på beskyttelse av enkeltpersoners data.
Personopplysningssikkerhet består av tre hovedkomponenter: Beskyttelse av integriteten, tilgjengeligheten og konfidensialiteten til dataene. Derfor bør virksomheter vurdere risikoene for følgende:
- Uautorisert eller utilsiktet tilgang til data — brudd på konfidensialitet (f.eks. identitetstyveri etter avsløring av lønnsslippene til alle ansatte i et selskap);
- Uautorisert eller utilsiktet endring av data — brudd på integritet (f.eks. feilaktig anklage av en person for en forseelse eller forbrytelse som følge av endring av tilgangslogger);
- Tap av data eller tap av tilgang til data — brudd på tilgjengelighet (f.eks. manglende påvisning av legemiddelinteraksjon på grunn av at det ikke er mulig å få tilgang til pasientens elektroniske journal).
Det er også tilrådelig å identifisere risikokildene (dvs. hvem eller hva som kan være opprinnelsen til hver sikkerhetshendelse?), idet det tas hensyn til interne og eksterne menneskelige kilder (f.eks. IT-administrator, bruker, ekstern angriper, konkurrent) og interne eller eksterne ikke-menneskelige kilder (f.eks. vannskader, farlige materialer, ikke-målrettet datavirus).
Denne identifikasjonen av risikokildene vil tillate deg å identifisere potensielle trusler (dvs. hvilke omstendigheter kan medføre at en sikkerhetshendelse oppstår?) på hjelpemidler (f.eks. maskinvare, programvare, kommunikasjonskanaler, papir, etc.), som kan være:
- brukt på en upassende måte (f.eks. misbruk av rettigheter, håndtering av feil);
- modifisert (f.eks. programvare eller maskinvare entrapment — keylogger, installasjon av skadelig programvare);
- mistet (f.eks. tyveri av en bærbar PC, tap av en USB-nøkkel);
- observert (f.eks. observasjon av en skjerm i et tog, geolokasjon av innretninger);
- forverret (f.eks. hærverk, naturlig forringelse);
- overbelastet (f.eks. full lagringsenhet, tjenestenektangrep).
- utilgjengelig (f.eks. ved ransomware).
Det er også anbefalt å:
- fastsette eksisterende eller planlagte tiltak for å håndtere hver risiko (f.eks. tilgangskontroll, sikkerhetskopiering, sporbarhet, sikkerhet i lokaler, kryptering),
- anslå alvorlighetsgraden og sannsynligheten for risikoene, basert på ovennevnte komponenter (eksempel på en skala som kan brukes for estimatet: ubetydelig, moderat, signifikant, maksimal);
- gjennomføre og kontrollere planlagte tiltak dersom eksisterende og planlagte tiltak anses hensiktsmessige, sikre at de gjennomføres og kontrolleres,
- gjennomføre periodiske sikkerhetsrevisjoner: hver revisjon bør føre til en handlingsplan som bør kontrolleres på ledernivå i virksomheten.
GDPR introduserer begrepet "Data Protection Impact Assessment (DPIA)", som er obligatorisk for enhver behandling av personopplysninger som sannsynligvis vil resultere i høy risiko for enkeltpersoner. En DPIA må inneholde de tiltak som er planlagt for å håndtere de identifiserte risikoene, herunder sikkerhetstiltakog mekanismer for å sikre beskyttelse av personopplysninger.
I praksis
- For å få en klarere oversikt over sikkerhetsrisikoene, kan du for eksempel opprette et regneark for risikostyring og oppdatere det regelmessig. Dette regnearket kan inneholde materielle og menneskelige risikoer knyttet til servere, datamaskiner eller lokaler. Tilstrekkelige vurderinger av forventet risiko kan bidra til å redusere konsekvensene i tilfelle av en hendelse.
Organisatoriske tiltak
Øke brukerbevisstheten
Det er viktig å gjøre ansatte eller brukere som håndterer personopplysninger oppmerksomme på risikoene knyttet til personvern, informere dem om tiltakene som er truffet for å håndtere risikoene og de potensielle konsekvensene i tilfelle svikt.
I praksis
Brukerbevissthet kan økes gjennom:
- korte bevisstgjøringskurs;
- regelmessige oppdateringer av framgangsmåter som er relevante for ansatte og andre personer som håndterer data;
- intern kommunikasjon, via e-postpåminnelser, etc.
En annen forholdsregel er å dokumentere driftsprosedyrene, holde dem oppdatert og gjøre dem lett tilgjengelige for alle som håndterer data. Mer konkret bør enhver behandlingsaktivitet, enten det gjelder administrative aktiviteter eller enkel bruk av en app, forklares på et klart språk og tilpasses hver kategori av behandlere, i dokumenter som det kan henvises til.
Opprette interne retningslinjer
Bevisstheten til intern håndtering av data kan være et dokument som bør være bindende og integrert i interne vedtekter. De interne retningslinjene bør særlig inneholde regler knyttet til personvern og sikkerhet.
Andre organisatoriske tiltak
- Implementere retningslinjer for klassifisering av som definerer ulike nivåer og krever merking av dokumenter og e-postmeldinger som inneholder konfidensiell informasjon.
- Lage en synlig og eksplisitt merknad på hver side av et papir eller elektronisk dokument som inneholder sensitive data.
- Gjennomføre opplæring i informasjonssikkerhet og andre bevisstgjøringskurs. Jevnlige påminnelser kan gis via e-post eller andre interne kommunikasjonskanaler.
- Sørge for signering av en konfidensialitetsavtale eller inkludere en spesifikk konfidensialitetsklausul om personopplysninger i kontrakter med ansatte og andre behandlere.
Tekniske tiltak
Sikkert utstyr
Tillit til påliteligheten av dine informasjonssystemer er et sentralt tema. Implementering av egnede sikkerhetstiltak, som er pålagt etter GDPR, er en måte å øke tilliten.
Spesielt er det anbefalt å sikre:
- maskinvare (f.eks. servere, arbeidsstasjoner, bærbare datamaskiner, harddisker);
- programvare (f.eks. operativsystem, forretningsprogramvare);
- kommunikasjonskanaler (f.eks. fiberoptikk, Wi-Fi, internett);
- papirdokumenter (f.eks. trykte dokumenter, kopier),
- lokaler.
Sikre arbeidsstasjoner
Følgende tiltak kan vurderes ved sikring av arbeidsstasjoner:
- lage en automatisk låsemekanisme for økter når arbeidsstasjonen ikke brukes i en gitt tidsperiode;
- installere brannmurprogramvare og begrense åpningen av kommunikasjonskanaler til det som er strengt nødvendig for riktig funksjon av programmer installert på arbeidsstasjonen;
- bruke antivirusprogramvare og ha en policy om regelmessig oppdatering av programvare;
- konfigurere programvare for å automatisk oppdatere sikkerheten når det er mulig;
- oppmuntre til lagring av brukerdata på en regelmessig sikkerhetskopiert lagringsplass som er tilgjengelig via organisasjonens nettverk, i stedet for på arbeidsstasjoner. Hvis data lagres lokalt, tilgjengeliggjør funksjoner for synkronisering eller sikkerhetskopiering og gi brukerne opplæring i bruken av dette;
- begrense tilkoblingen av mobile enheter (USB-pinner, eksterne harddisker, etc.) til det vesentlige;
- Deaktiver autorun fra mobile enheter.
Følgende frarådes
-
bruke utdaterte operativsystemer;
-
gi administratorrettigheter til brukere som ikke har kunnskap innenfor informasjonssikkerhet.
Ytterligere tiltak
- forby bruk av nedlastede programmer som ikke kommer fra sikre kilder;
- begrense bruken av programmer som krever administratorrettigheterfor å kjøres;
- slette dataene på en arbeidsstasjon på en sikker måte før den tildeles på nytt til en annen person;
- dersom en arbeidsstasjon blir kompromittert, søke etter kilden og eventuelle spor av inntrengning i virksomhetens informasjonssystem, for å oppdage om andre elementer ble kompromittert;
- utføre sikkerhetsovervåking av programvare og maskinvare som brukes i virksomhetens informasjonssystem;
- oppdatere programmer når kritiske sårbarheter er identifisert og fikset;
- installere kritiske operativsystemoppdateringer uten forsinkelse ved å planlegge en ukentlig automatisk sjekk;
- formidle riktig fremgangsmåte og listen over personer å kontakte til alle brukere, i tilfeller av en sikkerhetshendelse eller uvanlig hendelse som påvirker organisasjonens informasjons- og kommunikasjonssystemer.
I praksis
- Kontoret ditt har åpent landskap med mange ansatte, men også mange besøkende. Ved hjelp av en automatisk skjermlås kan ingen utenforstående få tilgang til datamaskinen til en ansatt som har pause eller se hva de jobber med. I tillegg vil en brannmur og et oppdatert antivirusprogram beskytte de ansattes nettsurfing og begrense risikoen for inntrenging på serverne dine. Jo flere tiltak som implementeres, desto vanskeligere blir det for personer med ondsinnet hensikt eller for en uaktsom ansatt å forårsake skade.
Beskytte virksomhetens lokaler
Tilgang til lokalene må kontrolleres for å hindre eller bremse direkte, uautorisert tilgang til papirdokumenter eller til datautstyr, spesielt servere.
Følgende anbefales
- installere inntrengingsalarmer og sjekke dem med jevne mellomrom;
- installere røykvarslere og brannslokkingsutstyr og inspisere dem årlig;
- beskytte nøkler som brukes til å få tilgang til lokalene og alarmkoder;
- skille mellom områder i kontorlokalene i henhold til risiko (f.eks. sørge for egen adgangskontroll for datarommet);
- utarbeide en liste over enkeltpersoner eller kategorier av personer som er autorisert til å gå inn i hvert område;
- fastsette regler og midler for å kontrollere besøkendes adgang, i det minste ved å ledsage besøkende utenfor offentlige områder;
- tiltak for å fysisk beskytte datautstyret (brannslokkingssystem, opphøyning mot mulig flom, strømforsyning og/eller klimaanlegg, etc.).
Følgende frarådes
Underdimensjonering eller forsømmelse av vedlikehold av miljøet på serverrom (luftkondisjonering, UPS, osv.). Et sammenbrudd i disse installasjonene leder ofte til nedstengning av maskinene eller åpning av tilgang til rommene (luftsirkulasjon), som de facto nøytraliserer sikkerhetstiltakene.
Ytterligere tiltak
Det kan være hensiktsmessig å føre en oversikt over tilgang til rom eller kontorer som inneholder materiale med personopplysninger som kan ha en alvorlig negativ innvirkning på berørte personer. Ansatte som håndterer data må underrettes om gjennomføringen av et slikt system, etter å ha informert og konsultert med representanter for de ansatte.
Sørg også for at bare autorisert personell kan ha tilgang til begrensede områder. For eksempel:
- kreve at ansatte er tydelig identifisert inne i avgrensede områder (f.eks. skilt eller kort);
- besøkende (teknisk støttepersonell, etc.) bør ha begrenset tilgang. Dato og klokkeslett for ankomst og avreise skal registreres;
- regelmessig gjennomgå og oppdatere tilgangstillatelser for å sikre områder, og fjerne dem etter behov.
I praksis
- Din bedrift har spesialisert seg på netthandel. Du oppbevarer personopplysninger om kunder på servere i separate lokaler. For å sikre tilgang til disse dataene er inngangen til disse lokalene beskyttet av en kortleser. En brann bryter imidlertid ut på grunn av kortslutning. Takket være en røykvarsler ble brannvesenet raskt varslet og i stand til å begrense tap av data.
Autentiser brukere
For å sikre at brukerne får tilgang til bare de dataene de trenger, bør de gis en entydig ID og bør autentisere seg før de bruker dataanleggene.
Mekanismer for å oppnå personautentisering er kategorisert basert på om de innebærer:
- hva vi vet, f.eks. et passord;
- hva vi har, f.eks. et smartkort;
- en karakteristikk som er spesifikk for personen, for eksempel måten en håndskrevet signatur er sporet.
Valget av mekanismen avhenger av konteksten og ulike faktorer. En brukers autentisering anses som sterk når den bruker en kombinasjon av minst to av disse kategoriene.
I praksis
- For å få tilgang til et sikkert rom som inneholder konfidensiell informasjon, kan du installere en kortleser ("hva vi har") kombinert med en tilgangskode ("hva vi vet").
Administrere autorisasjoner
Differensierte nivåer av autorisasjoner bør implementeres etter behov. Brukerne skal bare ha tilgang til data på grunnlag av tjenstlig behov.
God praksis for autentisering og styring av autorisasjoner:
- Definere en unik identifikator for hver bruker og forby kontoer som deles av flere brukere. Dersom bruken av generiske eller delte identifikatorer er uunngåelig, kreve intern godkjenning og implementering av metoder for å loggføring;
- pålegge bruk av tilstrekkelig sterk passordkompleksitet (f.eks. minst 8 tegn, store bokstaver og spesialtegn);
- lagre passord sikkert;
- fjerne foreldede tilgangstillatelser;
- regelmessig gjennomgang (f.eks. hver sjette måned).
Følgende frarådes
Følgende frarådes
- opprette eller bruke kontoer som deles av flere personer;
- gi administratorrettigheter til brukere som ikke har behov for det;
- gi en bruker flere autorisasjoner enn nødvendig;
- glemme å fjerne midlertidige autorisasjoner gitt til en bruker (f.eks. for en vikar);
- glemme å slette brukerkontoene til personer som har forlatt virksomheten eller byttet jobb.
Ytterligere tiltak
Etablere, dokumentere og regelmessig gjennomgå eventuelle retningslinjer for tilgangskontroll, som gjelder behandlingene som er implementert av organisasjonen, som bør omfatte:
- framgangsmåtene som skal anvendes ved ankomst, avreise eller endring av stilling til en person med tilgang til personopplysninger;
- konsekvensene for personer med legitim tilgang til dataene i tilfelle av manglende etterlevelse av sikkerhetstiltakene;
- tiltak for å begrense og kontrollere tildeling og bruk av tilgang til behandlingen.
I praksis
- Når det ansettes en ny person i selskapet, må du opprette en ny dedikert brukerkonto med et sterkt passord. Ansatte bør ikke dele sin legitimasjon med hverandre, spesielt hvis de ikke har samme akkreditering. Hvis de endrer stilling, bør du se gjennom tilgangstillatelsene til bestemte filer eller systemer.
Pseudonymisere data
Pseudonymisering er behandling av personopplysninger på en slik måte at det ikke lenger er mulig å koble personopplysningene til en bestemt fysisk person uten bruk av ytterligere informasjon. Slike tilleggsopplysninger må oppbevares separat og være underlagt tekniske og organisatoriske tiltak.
I praksis består pseudonymisering i å erstatte direkte identifiserende data (navn, fornavn, personnummer, telefonnummer osv.) i et datasett med indirekte identifiserende data (alias, sekvensielt nummer, etc.). Det gjør det mulig å behandle dataene til enkeltpersoner uten å kunne identifisere dem direkte. Det er imidlertid mulig å identifisere disse personene takket være tilleggsdataene. Pseudonymiserte data er fortsatt personopplysninger og er underlagt GDPR. Pseudonymisering er også reversibelt, i motsetning til anonymisering.
Pseudonymisering er et av tiltakene som anbefales av GDPR for å begrense risikoen forbundet med behandling av personopplysninger.
Les mer
Kryptere data
Kryptering er en prosess som består i å konvertere informasjonen til en kode for å hindre uautorisert tilgang. Denne informasjonen kan bare leses på nytt ved å bruke riktig nøkkel. Kryptering brukes for å sikre konfidensialiteten til data. Krypterte data er fortsatt personopplysninger. Dermed kan kryptering betraktes som en av pseudonymiseringsteknikkene.
I tillegg kan hash-funksjoner brukes til å sikre dataintegritet. Digitale signaturer sikrer ikke bare integritet, de gjør det også mulig å verifisere opprinnelsen til informasjonen og dens autensitet.
Anonymisere data
Personopplysninger kan anonymiseres på en slik måte at den enkelte ikke lenger er identifiserbar. Anonymisering er en prosess som består i å bruke et sett med teknikker for å gjøre personopplysninger anonyme slik at det blir umulig å reidentifisere personen på noen måte som er rimelig sannsynlig.
Anonymisering, dersom implementert på riktig måte, kan gjøre det mulig for deg å bruke data på en måte som respekterer rettighetene og frihetene til enkeltpersoner. Anonymisering gir mulighet for gjenbruk av data som i utgangspunktet ikke er tillatt, og kan dermed tillate virksomheter å bruke data til ytterligere formål uten å forstyrre personvernet til enkeltpersoner. Anonymisering gjør det også mulig å oppbevare data utover lagrinsperioden.
Når anonymiseringen er implementert på riktig måte, gjelder ikke GDPR lenger for anonymiserte data. Det er imidlertid viktig å huske på at anonymisering av personopplysninger i praksis ikke alltid er mulig eller lett å oppnå. Det må vurderes om anonymiseringen kan brukes på de aktuelle dataene og opprettholdes på en vellykket måte, med tanke på de spesifikke omstendighetene ved behandlingen av personopplysningene. Ytterligere juridisk eller teknisk ekspertise vil ofte være nødvendig for å lykkes med å implementere anonymisering i samsvar med GDPR.
Hvordan sjekke effektiviteten av anonymisering?
Europeiske tilsynsmyndigheter definerer tre kriterier for å sikre at et datasett virkelig er anonymisert:
- Utskilling: det bør ikke være mulig å isolere informasjon om en person i datasettet.
- Koblingsevne: det bør ikke være mulig å knytte separate databiter om samme person.
- Inferens: det bør ikke være mulig å utlede informasjon om en enkeltperson, med tilnærmet fullstendig sikkerhet.
I praksis
- Utskilling: i en database med CV-er der bare for- og etternavn på en person er blitt erstattet av et tall (som bare tilhører den personen), er det fortsatt mulig å skille ut en bestemt person basert på andre karakteristikker. I dette tilfellet anses personopplysningene som pseudonymiserte og ikke anonymiserte.
- Koblingsevne: en kartleggingsdatabase som inneholder adressene til enkeltpersoner, kan ikke betraktes som anonym hvis andre databaser som eksisterer andre steder, inneholder de samme adressene med andre data som gjør det mulig å identifisere enkeltpersoner.
- Slutning: hvis et angivelig anonymt datasett inneholder informasjon om respondentenes skatteplikt til et spørreskjema, og alle mannlige respondenter mellom 20 og 25 år ikke er skattepliktige, kan det utledes at en bestemt respondent er skattepliktig eller ikke, når alder og kjønn er kjent.
Les mer
Særlige situasjoner
Sikkerhetstiltak for telebearbeiding
I forbindelse med telearbeid er det nødvendig å garantere sikkerheten til dataene samtidig som personvernet til enkeltpersoner respekteres.
Følgende anbefaler
- Utarbeide en sikkerhetspolicy for telearbeid eller i det minste et sett med minimumsregler som skal følges. Kommunisere dette dokumentet til ansatte i henhold til dine interne retningslinjer;
- Hvis du behøver å endre reglene for informasjonssystemet ditt for å muliggjøre telebearbeid (f.eks. endre reglene for klarering, ekstern administratortilgang osv.), bør du vurdere risikoene som er involvert og, om nødvendig, iverksette tiltak for å opprettholde sikkerhetsnivået;
- Utstyre alle de ansattes arbeidsstasjoner med minst en brannmur, antivirusprogramvare og et verktøy for å blokkere tilgang til skadelige nettsteder. Hvis de ansatte kan bruke eget utstyr, gi veiledning for å sikre det (se "Sikkerhetstiltak for BYOD");
- Sette opp en VPN for å unngå direkte eksponering av tjenestene dine til Internett der det er mulig. Aktiver tofaktor VPN-autentisering hvis mulig;
- Gi dine ansatte en liste over kommunikasjons- og samarbeidsverktøy som passer for eksternt arbeid, som garanterer konfidensialitet ved utveksling og deling av data. Velg verktøy som du kontrollerer og som sikrer moderne metoder for autentisering og kryptering av kommunikasjon, og som sikrer at dataene som sendes ikke gjenbrukes til andre formål (produktforbedring, reklame osv.). Enkelte programvarer kan overføre brukerdata til tredjeparter, og er derfor særlig uegnet for bedriftsbruk.
Sikkerhetstiltak for BYOD (Bring Your Own Device)
Med utviklingen av BYOD, spesielt i små og mellomstore bedrifter, hviskes grensen mellom profesjonelt og personlig liv noe ut. Selv om BYOD ikke i seg selv representerer en behandling av personopplysninger, er det fortsatt nødvendig å ivareta datasikkerheten.
Forkortelsen "BYOD" står for "Bring Your Own Device" og refererer til bruk av personlig datautstyr i en profesjonell sammenheng. Et eksempel på dette vil være en ansatt som bruker personlig utstyr som en datamaskin, nettbrett eller smarttelefon for å koble til bedriftens nettverk.
Muligheten for å bruke personlige verktøy er først og fremst et spørsmål om arbeidsgiverens avgjørelse og nasjonal lovgivning. GDPR krever at sikkerhetsnivået for personopplysninger som behandles er det samme uavhengig av utstyret som brukes. Arbeidsgiver er ansvarlig for sikkerheten til virksomhetens personopplysninger, også når data lagres på områder der de ikke har noen fysisk eller juridisk kontroll, men som har autorisert tilgang til selskapets IT-ressurser.
Risikoen som det er viktig å beskytte organisasjonen din mot, varierer fra et engangsangrep på datatilgjengeligheten, integriteten og konfidensialiteten til et generelt kompromittering av selskapets informasjonssystem (inntrenging, virus, etc.).
Eksempel på sjekkliste
Et eksempel på hvordan en sjekkliste for å forbedre sikkerhetsnivået i virksomheten din kan se ut:
- Informere og kurse ansatte som regelmessig håndterer data om personvernrelaterte risikoer
- Utforme bindende interne retningslinjer
- Implementere innebygget personvern og som standardinstilling
- Sørge for at dataene som behandles er adekvate, relevante og begrenset til det som er nødvendig (dataminimering)
- Implementere en policy for klassifisering av konfidensielle data
- Merke dokumenter som inneholder sensitive data
- Gjennomføre kurs i informasjonssikkerhet og bevisstgjøringskurs, sammen med jevnlige påminnelser.
- Signere en konfidensialitetsavtale med ansatte eller inkludere spesifikke konfidensialitetsklausuler i arbeidsavtalen
- Ha automatisk skjermlås, oppdatert brannmur og antivirusprogram, backup lagring for brukere
- Begrense tilkobling av mobile enheter(USB-pinner, eksterne harddisker, etc.) til det vesentlige
- Beskytte selskapets lokaler (f.eks. inntrengningsalarmer, røykvarslere, beskyttede nøkler, avgrensede områder i henhold til risiko, autorisasjoner for å få tilgang til bestemte områder, eget brannslokkingssystem)
- Gi en unik identifikator til brukere
- Krevere autentisering for å få tilgang til dataanlegg
- Administrere autorisasjoner (f.eks. separerte profiler etter behov, unik identifikator, sterke passord)
- Utarbeide en sikkerhetspolitikk for telearbeid
- Fjerne foreldede tilgangstillatelser
- Regelmessig gjennomgåelse av tillatelsene
- Pseudonymisere eller anonymisere data for å begrense reidentifisering av enkeltpersoner
- Kryptere data for å forhindre uautorisert tilgang
- Installere et VPN for telearbeid
- Sørge for å sikre personlige enheter som brukes til arbeid (BYOD)