Les også: Gammelt system sto på nett — ingen oppdaget det
Det spanske e-handelsselskapet som fikk €1 090 000 i bot hadde ikke bare et sikkerhetsproblem. De hadde et eierskapsproblem. Det gamle systemet sto tilkoblet uten at noen oppdaterte det, overvåket det, eller visste at det fortsatt var tilgjengelig fra internett.
Når ingen eier et system, eier ingen risikoen heller. Ingen sjekker om programvaren er oppdatert. Ingen logger hvem som kobler til. Ingen stiller spørsmålet — trenger vi dette fortsatt?
Behandlingsprotokollen (RoPA) skal inneholde en oversikt over systemene som behandler persondata. Men i mange virksomheter oppdateres den bare når nye systemer legges til — ikke når gamle systemer burde vært fjernet.
**Praktisk poeng:**
Hvert system som behandler persondata trenger en eier — en person som er ansvarlig for oppdatering, tilgang og avvikling. Gå gjennom behandlingsprotokollen. Står det systemer der uten navngitt ansvarlig? Da har du funnet risikoen.
Inspirert av: AEPD (Spania) via TechLaw.se