Årets risikovurdering fra Nasjonal sikkerhetsmyndighet (NSM) setter søkelyset på cybersikkerhet. I rapporten "Risiko 2025" står det:
“Det siste året har NSM observert en rekke angrep mot virksomheter som enten har informasjon om eller kunne fungert som en vei inn i nettverkene til virksomheter underlagt sikkerhetsloven. Leverandørene er ofte ikke fullt klar over egen betydning. Derfor har de heller ikke sikret egne systemer deretter.”
Samtidig samler arrangører inn stadig mer personopplysninger, via påmeldingssystemer/-skjemaer, apper, spørreskjemaer, evalueringer, osv. Som følge av dette er det viktigere enn noen gang at arrangements- og deltakerdata behandles og ivaretas på en trygg og god måte.
I denne artikkelen får du svar på to spørsmål:
- Hvorfor er det avgjørende at en arrangementsplattform har god datasikkerhet?
- Hvordan fordeles sikkerhetsansvaret mellom leverandøren av systemet og deg som bruker?
Du må sikre deltakerdata som sendes til samarbeidspartnere
Rundt et arrangement med mange deltakere er det mange som fortløpende trenger oppdatert informasjon for å legge til rette for best mulig deltakeropplevelse i alle ledd.
Det at det er mange involverte, gjør at mange også kan ha behov for å få informasjon om hver enkelt deltaker. Da er det helt grunnleggende at du som arrangør kun deler relevant data, som deltaker har samtykket til å dele. Verken mer eller mindre. Og dessuten at du ikke deler data med flere enn det strengt tatt er behov for.
Det er ditt ansvar å sørge for at deltakerinformasjon som du sender til leverandører og samarbeidspartnere, ikke kommer på avveie. Personopplysninger på avveie kan misbrukes. For eksempel kan trusselaktører bruke slik informasjon til svindel og utpressing, eller til å utgi seg for å være din bedrift eller organisasjon i svindelforsøk mot andre.
Her er to enkle grep du kan gjøre for å sikre at arrangements- og deltakerdata ikke blir misbrukt:
- Ha utløpsdato på lenker som blir delt
- Passordbeskytt personopplysninger som videresendes som filer
Du må sikre data som sendes inn i dine egne systemer
Bruker din bedrift en arrangementsplattform til å samle inn data og behandle deltakere til arrangementer? Og sender dere deretter informasjonen videre inn i eget system?
I så fall er det avgjørende at dere også kan gjøre dette på en trygg måte. Dere må kunne være sikker på at dataene som sendes videre, er riktige
Igjen: Deltakere må kunne være helt trygg på at personopplysninger de oppgir til deg som arrangør, er trygge og ikke misbrukes videre.
Det er leverandøren av arrangementsplattformen som har ansvaret for å legge til rette for at du som bruker kan samle inn og bruke deltakeres data på en forsvarlig og lovlig måte. Leverandøren legger til rette for at du kan samle inn og bruke deltakerdata videre – men det er ditt ansvar at du faktisk gjør det sikkert og trygt, og i henhold til samtykkene som er gitt.
Les også: Slik sikrer Provisos arrangementsplattform dine data
En god arrangementsplattform krypterer persondata
Selv om leverandøren av et IT-system tar alle mulige forholdsregler for å stå imot potensielle dataangrep, er det ikke mulig å sikre seg 100 % mot fremtidig inntrengning eller lekkasje.
Derfor krypterer en profesjonell arrangementsplattform alle personopplysninger som blir behandlet og lagret i systemet. Det betyr at data som eventuelt kommer på avveie, ikke kan bli misbrukt – fordi informasjonen vil være uleselig og dermed ubrukelig.
Sikring av arrangements- og deltakerdata krever felles innsats
Med det utfordrende risikobildet vi står i, kan hvilken som helst virksomhet bli angrepet. Det er mange ulike aktører og hensikter bak et cyberangrep, og konsekvensene blir mer alvorlige. Nasjonal sikkerhetsmyndighet skriver i rapporten:
“Trusselaktivitet i det digitale domenet er noe hele samfunnet må forholde seg til. NSM har registrert cyberhendelser mot så å si alle samfunnssektorer.”
Dermed er det enda viktigere enn tidligere at systemet bedriften din bruker til påmelding og håndtering av deltakere, ivaretar datasikkerhet og personvern i alle ledd.
Prosentandel av cyberhendelser som NSM har registrert per samfunnsområde i 2024. Kilde: “Risiko 2025: Et sikkert Norge i en usikker verden”.
Hvilket ansvar har leverandøren, og hvilket ansvar har du?
Leverandørens ansvar: En god arrangementsplattform skal legge til rette for at du som bruker kan samle inn og bruke dine deltakeres data på en lovlig måte. Systemet må sørge for sikker datalagring og gode rutiner dersom data skulle komme på avveie.
Ditt ansvar: Som bruker av en arrangementsplattform er du ansvarlig for at dataene benyttes slik deltaker har gitt samtykke til, også hvis de blir delt videre med andre eller i egne systemer. Dessuten må du slette data og/eller fjerne samtykke dersom en deltaker ønsker det.
