Analysen viser at de virksomheter som investerer minst mulig i informasjonssikkerhet, trolig har en økt sjanse for å bli rammet av sikkerhetsbrudd eller datakriminalitet. Virksomheter uten styringssystem oppdager også sikkerhetshendelser ved en tilfeldighet. De som har et godt styringssystem oppdager i større grad sikkerhetsbrudd fordi de har gode rutiner for arbeid med informasjonssikkerhet.

GDPR, personvern og sikkerhet

Med personopplysningsloven og den nye personvernforordningen (GDPR) har det kommet en del nye plikter for virksomheter og styrkede rettigheter for borgerne. I årets undersøkelse ble det derfor spurt om virksomhetene har gjort endringer i arbeidet med personvern og informasjonssikkerhet.

Kun 40 % av de mindre virksomhetene i undersøkelsen sier at de har gjort endringer før GDPR. En forklaring kan være at mange virksomheter ikke kjenner til regelverket og ikke er klar over at de må etterleve det. Outsourcing av tjenester til utlandet øker, og 18 % svarer at de ikke vet hvor data fysisk er lagret. Dersom det er personopplysninger blant data som er outsourcet, og man ikke vet hvor data fysisk er lagret, kan det være at de ligger lagret i land utenfor EU/EØS.

- Vi anbefaler alle virksomheter å etablere rutiner for internkontroll eller styringssystem for å ivareta personvernet og informasjonssikkerheten. Få oversikt over hvilke behandlinger dere har, gjennomfør risikovurderinger og sørg for å sikre opplysningene med tekniske og organisatoriske tiltak, sier Datatilsynets fagdirektør Martha Eike. Det innebærer også at man evner å oppdage og håndtere sikkerhetsbrudd.

I rapporten understrekes det at systematisk forebyggende sikkerhetsarbeid gir god uttelling for virksomhetene. I tillegg gir det rom for å iverksette riktige konsekvensreduserende tiltak.

Det er Opinion som har gjennomført undersøkelsen på oppdrag fra NSR. Datatilsynets fagdirektør Martha Eike er medlem av Informasjonssikkerhetsutvalget som har bidratt i rapporten.

- Kilde: Datatilsynet