Datalækager, fortrolig information, cyberkriminalitet og virusudbrud. Informationssamfundet anno 2014 kender alt til truslerne mod elektroniske databaser. Evnen til at passe på følsomme data skal følge med tiden. Hvordan har denne evne det i din virksomhed og hos dine samarbejdspartnere?
Vi har kigget nærmere på databeskyttelsen i Ennova.

Hvordan sørger vi for, at virksomheders data transporteres mindst muligt og på den mest sikre måde? Hvilke data er følsomme? Og hvilke konsekvenser har det, hvis de slipper ud? Det er hverdagsspørgsmål, alle virksomheder bør stille sig selv. Ennova er blandt de få danske virksomheder, der er ISO-certificeret i informationssikkerhed, og det stiller skærpede krav.

Direktør i Ennova med blandt andet ansvar for IT og informationssikkerhed, Claus Schmidt-Laugesen fortæller, hvorfor certificeringen er vigtig for Ennova:

- Kernen i vores forretning er at opbevare og håndtere vores kunders data og aktiver. Datahåndtering er noget, vi bør have styr på. Ikke for lovgivningens skyld, men for os selv og vores kunders skyld. Den information, vi bliver betroet til at opbevare - fx kundedata, medarbejderoplysninger og andre forretnings-hemmeligheder for virksomheder som Vestas, Nordea og FLSmidth, skal vi være varsomme med og behandle fortroligt.

Til eksamen i sikkerhed

Fra risikoanalyser og eksterne kontrolbesøg til krypterede usb-stik og kodebeskyttede mobiltelefoner. Den internationale certificering stiller en række krav til dagligdagens håndtering af information.
 

- Hvert år er der både intern og ekstern audit (kontrolbesøg, red). Vi skal sikre os, at vi gør det, vi siger, vi gør. Men vi stiller også kravet videre. En del af udfordringen er, at vi selv har styr på data. Men hvad hvis vores underleverandører ikke har? Det kræver aftaler med leverandører og ofte længerevarende relationer, siger Claus Schmidt-Laugesen.

Hvad siger loven?

Fordi medarbejder, leder- og kundemålinger ofte indeholder persondata er Ennova omfattet af Persondataloven. Det betyder blandt andet, at Ennova ikke må behandle informationer om fx religion, fagforening og etnicitet uden samtykke fra respondenten.

Når Ennova håndterer og behandler data, adskilles respondentdata og besvarelse. Når denne pseudonymisering sker, anses det ikke længere som persondata. Men derfor kan det stadig være forretningsfølsom data, der skal håndteres med forsigtighed.

- Vi tager hensyn til data ud fra to kriterier. De krav lovgivningen stiller og det forretningsmæssige synspunkt. For at sikre at data bliver håndteret korrekt, stilles der forskellige krav til Ennovas ansatte afhængigt af dataklassificeringen. Fx kan man kun arbejde med fortrolige data fra Ennovas kontorer - og altså ikke hjemmefra, og arbejder medarbejderne på deres PC i det offentlige rum, sker det med skærmfilter, siger Claus Schmidt-Laugesen.

Mere end IT-sikkerhed

Jo mere følsomme og fortrolige data, jo større krav er der til medarbejdernes forsigtighed, og for Ennova er datasikkerhed ikke kun forbeholdt IT-afdelingen:
 

- Informationssikkerhed er naturligvis ikke kun et IT-spørgsmål. Certificeringen stiller krav til et ledelsesmæssigt engagement og fokus. Vi har valgt at gennemføre risikovurderinger på både systemer, leverandører og personale. Vi skal spørge og forberede os selv på, hvor det kan gå galt, og hvad konsekvensen kan være. Det kræver mange ressourcer, men det er i den gode sags tjeneste, slutter Claus Schmidt-Laugesen.