Find artikler om GDPR her på Lexoforms.com. Vi skriver løbende nyt om GDPR, persondata og vores online GDPR-værktøj.

Risikovurderinger – og dokumentationen heraf

Risikovurderinger og dokumentationen af dem – det er ikke så let …

Risikovurdering er et gennemgående og bærende krav i reglerne om beskyttelse af personoplysninger.

Rigsrevisionen har den 15. maj 2020 i en beretning til statsrevisorerne kritiseret en række myndigheder for ikke at have gjort nok for at sikre, at personoplysninger opbevares sikkert hos databehandlere. Selv Datatilsynet er blevet kritiseret for ikke at kunne dokumentere, at Datatilsynets planlagte tilsyn er risikobaserede. Datatilsynet arbejder derfor på at få et mere dokumenteret og databaseret koncept for udførelsen af de planlagte tilsyn.

Vi må derfor forvente et øget fokus på, at vi kan dokumentere vores vurdering af risici i vores virksomhed – både hvad angår it-systemer i egen virksomhed og hos databehandlere og også hvad angår medarbejdernes håndtering af personoplysninger.

Typisk opstår brud på sikkerheden pga. medarbejderfejl (ca. 2/3 af anmeldte brud) eller pga. it-sikkerhedsproblemer.

Så de to områder skal især være fokusområder for alle virksomheder, også de små og mellemstore.

Det er ikke så nemt, men skal ske i tre faser:

1: Kortlægning over risikoen, kan f.eks. være

  • hændelig eller ulovlig tilintetgørelse af personoplysninger
  • tab eller ændring af personoplysninger
  • uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet med den, f.eks. mails sendt til en forkert modtager – og med den konsekvens, at der sker
  • identitetstyveri eller -svig
  • skade på omdømme
  • forskelsbehandling
  • økonomiske tab
  • tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt,
  • uautoriseret ophævelse af pseudonymisering
  • forhindring i udøvlse af kontrol med sine personoplysninger eller
  • andre betydelige økonomiske eller sociale konsekvenser

For revisorer og andre, der er omfattet af tavshedspligt (f,eks, advokater) gælder specielt, at de er forpligtede til at overveje, hvilke risici der er forbundet med tavshedspligten, herunder om der vil være en risiko for, at de indsamlede oplysninger er forkerte, eller om der vil være en risiko for, at den manglende underretning vil kunne skade den registrerede.

2: Kategorisering af risikoen

Der skal laves en scoring ud fra sandsynlighed og alvorlighed (konsekvens). Er risikoen høj, mellem eller lav, vurderet f.eks. ud fra

  • kategorien af personoplysninger (er det almindelige – eller særlige – eller følsomme personoplysninger), sker der profilering, automatiserede afgørelser, hvor stort et omfang oplysningerne har mm.
  • sammenhængen oplysningerne behandles i (f.eks. personers navne med deres adresser på fængsler eller andre institutioner) og
  • formålet med behandlingen

3: Vurdering af tekniske og organisatoriske foranstaltninger

En vurdering af, hvad der er passende tekniske og organisatoriske foranstaltninger, til at sørge for, at flest mulige risici begrænses – og dokumentation af foranstaltningernes gennemførelse. Det kunne f.eks. være

Firewall

Der er etableret og løbende vedligeholdt en firewall, som sikrer gennemførelse af virksomhedens sikkerhedspolitik, herunder f.eks. spærring for adgang til suspekte hjemmesider.

Opdateringer

Servere og computere ajourføres løbende med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer.

Antivirus

Der er etableret et virusværn, som løbende holdes ajourført .

Internet og e-mail

Opsætning af sikkerhedsindstillingerne i browseren og e-mail programmet på de enkelte computere er etableret, så der opnås den ønskede sikkerhedspolitik omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins, m.v.).

Overførsel af følsomme data

Sker evt. overførsel via internettet af følsomme persondata herunder også CPR-numre, krypteres de altid. Ligeledes sker der kryptering af overførsel af data hvor opbevaring / behandling foregår efter tilladelse fra datatilsynet. Dette gælder også for overførsel af evt. login oplysninger.

Hjemmesider / kryptering

Kommunikationen via hjemmesider hvor der benyttes persondata sikres ved hjælp af SSL kryptering e.l. Der er mulighed for at implementere forskellige grader af kryptering, herunder også det, der betegnes som “stærk kryptering” (128 bit SSL/TLS-forbindelse). Hvis brugere via hjemmesiden får adgang til personoplysninger – f.eks. om sig selv – skabes der sikkerhed for, at oplysningerne ikke udleveres til uvedkommende. Dette sikres enten med kryptering eller med pinkode / digital signatur

Logning

Det registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, blokeres der for yderligere forsøg.

Fjernadgang

Der er dobbelt logon (2-factor) ved fjernadgang til virksomhedens IT-systemer.

Sletning

Det udføres løbende kontrol med at der gennemføres sletning af personoplysninger, ud fra hvad der er beskrevet i den interne fortegnelse

Adgang

Systemer sættes op, så ansatte kun har adgang til de personoplysninger, som de har brug for i forbindelse med løsning af deres arbejdsopgaver

IT Værktøjer

Systemet sættes op, så det er enkelt for de ansatte at arbejde med kryptering af følsomme personoplysninger og personnumre.

Backup

Der foretages jævnligt back-up, der gemmes på andre medier/miljøer end produktion, eks. bånd, eksterne backup lokationer og lign.pseudonymisering og kryptering af personoplysninger

Medarbejderinstruks

En meget detaljeret medarbejderinstruks, der gennemgås jævnligt med alle medarbejdere .

Og denne sikkerhedsvurdering bør gemmes, så det kan dokumenteres, dels at den er foretaget, og dels at de nævnte sikkerhedsforanstaltninger er gennemført.

GDPR-reglerne stiller store krav – også til vores små virksomheder.

Jeg håber, at Datatilsynet snart kommer med en mere udførlig vejledning til støtte for virksomhedernes risikovurderinger.

 

Denne artikel er skrevet af Wivi H. Larsen, partner og advokat (H), Lexoforms A/S.

GDPR-skabelon version 2.0

Hvis bare der var en GDPR-skabelon, jeg kunne downloade, så jeg ikke behøver at forholde mig til alt det GDPR-ståhej og kan koncentrere mig om det, jeg synes er sjovt. Vi kender det alle sammen. Jagten efter den magiske GDPR-skabelon til at komme let og legende igennem GDPR-junglen uden at bruge noget som helst tid på det. Hvis bare det var så simpelt.

Der findes i dag et hav af GDPR-skabeloner, du kan downloade, når du f.eks. skal informere om din cookiepolitik og din behandling af kunder og medarbejderes data og personoplysninger. Det er skabeloner, der er rigtig fine, for det kan være svært at vide, hvad man skal skrive for at være på den sikre side.

Desværre tror mange virksomheder, at rejsen stopper her, når det gælder GDPR – men i virkeligheden tager GDPR-skabeloner som disse dig kun et lille stykke af vejen.

Læs mere om de GDPR-regler, du har brug for at vide. 

Dataene er indsamlet. Hvad så nu?

PersondataData mig her og data mig der. Når du har med medarbejdere, samarbejdspartnere og kunder at gøre til dagligt er det ikke så lidt data, du skal have styr på. Data som er indhentet og ligger forskellige steder. Og det er her det store arbejde begynder for at kunne leve op til de ting, du skriver i diverse GDPR-skabeloner om behandling af data og personoplysninger.

Er det nu også noget, du behøver forholde dig til? Ja, det er det – og nej, det er desværre ikke noget, du kan tie væk. Hvad du måske ikke vidste er, at det faktisk er lovpligtigt at kunne dokumentere overfor Datatilsynet, hvordan du behandler alle de personoplysninger, du ligger inde med.

Den positive nyhed er, at det slet ikke behøver at være så komplekst, hvis du har det rette værktøj til det. Lad os snakke lidt om Lexoforms.

Den lovpligtige dokumentation   

Lexoforms kan man egentlig også kalde for en slags GDPR-skabelon. Det er nemlig et online værktøj, der tager dig igennem de enkelte steps af databehandlingen, så du har helt styr på dokumentationen, overfor både datatilsynet og dine kunder.

Denne dokumentation hedder et så fornemt ord som en intern fortegnelse. Det er et dokument, hvor du samlet skal have alle de personoplysninger, din virksomhed opbevarer og behandler, og som hele tiden skal være opdateret. Nogle har det liggende i et uoverskueligt Excel-ark, som manuelt skal opdateres. Andre bruger Lexoforms’ værktøj, som bygger og opdaterer dokumentet automatisk, når du indtaster andre oplysninger.

I grove træk skal en intern fortegnelse indeholde følgende, som du skal kunne dokumentere:

  • Hvordan du behandler data på kunder, ansatte og leverandører – både eksisterende og tidligere
  • Hvilke systemer du opbevarer data i
  • Hos hvilke databehandlere du opbevarer data

Det er ting, som Lexoforms’ værktøj hjælper dig med at få tilføjet i det, der kaldes kortlægning og som danner rammen for din interne fortegnelse, der automatisk bliver bygget.

Få et indblik i værktøjet allerede nu.

Det løbende GDPR-arbejde

Desværre er GDPR ikke en engangsforestilling, du kan sætte et endeligt flueben ved, når du har fået styr på din data. I takt med at nye kunder, medarbejdere og databehandlere kommer til og forlader virksomheden, skal dataene på dem også opdateres. Heldigvis er der også her nogle smarte og automatiske metoder i Lexoforms’ værktøj, som kan hjælpe dig med at holde styr på det.

Du kan nemlig oprette og planlægge opgaver i systemet, som f.eks. sikrer, at du får en påmindelse x antal gange i løbet af et år. Her er det især kravene omkring slettepolitik, du kan få sat i system – det kalder vi for kontroller. Din opbevarede data har nemlig en udløbsdato, hvorefter den bliver ulovlig og kan medføre heftige bøder fra Datatilsynet. Udløbsdatoen skal du som dataansvarlig selv fastlægge alt efter, hvad formålet med dataopbevaringen er.

Læs mere om sletning af personoplysninger og slettefrister her.

Med Lexoforms’ GDPR-værktøj er det derfor godt at have det samlede overblik over, hvor du kan finde dataene henne og få automatiske påmindelser, når det er tid til at finde slettelakken frem.


Har du lyst til at se værktøjet med dine egne øjne og se, hvordan GDPR kan gøres overskueligt, kan du tilmelde dig en 14-dages gratis prøveperiode herunder. Herefter koster det kun 4.200 om året at holde styr på din GDPR.

Ja tak, tilmeld mig en gratis prøveperiode.

Ny datamærkningsordning – er din virksomhed klar?

Den 30. oktober 2019 var en god dag. Her præsenterede erhvervsminister Simon Kollerup nemlig en ny datamærkningsordning, som er IT-branchens svar på nøgle- og svanemærket. Det er en mærkningsordning, der fremover skal hjælpe med at sikre IT-sikkerheden i Danmark, som vil blive varetaget af organisationerne Dansk Erhverv, SMVdanmark og Dansk Industri med bl.a. Forbrugerrådet Tænk som en del af den kommende bestyrelse.

Læs Erhvervsministeriets udmelding her.

Bevilling af 18 millioner til IT-sikkerheden

Staten sætter øget fokus på GDPR - Janus SandsgårdBegejstringen for datamærkningsordningen er stor, og derfor har Dansk Erhverv, SMVdanmark og Dansk Industri netop søgt midler til udviklingen af tiltaget hos Industriens Fond og er blevet tildelt hele 18 millioner kroner. Planen er, at mærkningsordningen skal gå i luften i 2020, og første step er at oprette et sekretariat i første kvartal af 2020, der skal varetage mærkningsordningen. Janus Sandsgaard, fagchef for IT og digitalisering i Dansk Erhverv, fortæller i en pressemeddelelse fra Dansk Erhverv:

”Ambitionen er at give et meget tiltrængt og solidt løft af it-sikkerheden i erhvervslivet i bredeste forstand, styrke tilliden, og ultimativt gøre it-sikkerhed og ansvarlig dataanvendelse til en dansk styrkeposition”.

Læs artiklen ”18 mio. til ambitiøst løft af it-sikkerheden” fra Dansk Erhverv.

Fra økologimærkning til datamærkning

Det er ikke første gang, vi har set og hørt om en mærkningsordning. Det findes både inden for økologien med økologimærket, sundhed med nøglehulsmærket og allergivenlighed med svanemærket. Og nu er mærkningsordningen endelig en realitet for datasikkerheden, og det er der god grund til at juble over. Ikke nok med at mærkets eksistens forhåbentlig vil bidrage til at skabe en naturlig motivation for flere virksomheders lyst til at engagere sig i etisk, korrekt databehandling og IT-sikkerhed, så kan mærket også bruges til fordele som markedsføring og blåstempling af din virksomhed.

Hvad går datamærkningsordningen ud på?

I kølvandet på GDPR-lovgivningen, som kan virke uoverskuelig og kompleks, er den nye datamærkningsordning et konkret initiativ til en styrkelse af datasikkerheden, der gør GDPR-lovgivningen mere håndgribelig. Mærkningsordningen skal fungere som en slags ”tjekliste” for virksomheder, hvor man ved at opfylde mærkningsordningens kriterier får et emblem. I den forbindelse foretages en screening af din virksomheds risikoprofil, der bedømmes på en skala fra 1-4. Her ses på følgende parametre, som har en betydning for, hvilken risikogruppe, din virksomhed havner i:

  1. Hvor mange ansatte din virksomhed har
  2. Hvilke typer data din virksomhed anvender
  3. Om din virksomhed anvender algoritmer eller Al-teknologi?

Læs mere om udspillet til datamærkningsordningen her.

 

Hvad betyder datamærkningsordningen for din virksomhed?

Staten sætter øget fokus på GDPR - ChristiansborgEn undersøgelse fra Erhvervsministeriet viser, at 87% af danske forbrugere vil undgå at handle steder, hvor der er mistanke om, at data behandles uansvarligt. Den nye ordning skal derfor være en rettesnor for forbrugere, så de kan navigere efter virksomheder, der håndterer deres persondata på en ansvarlig måde.

Men det er ikke kun forbrugernes gevinst, at staten sætter øget fokus på databeskyttelse. Der ligger også en lang række fordele for din virksomhed ved at få datamærket. Først og fremmest er det en god måde hurtigt at opbygge tillid mellem din virksomhed og dine kunder. Herudover kan datamærket skabe en mulighed for din virksomhed for at differentiere sig over for konkurrenterne og give en øget konkurrencefordel. Der ligger altså nogle klare muligheder for at markedsføre din virksomhed gennem datamærket.

Sidst men ikke mindst, tilbyder datamærkningsordningen din virksomhed en ramme med konkrete vejledninger til at arbejde med digital ansvarlighed og en brugervenlig guide til implementeringen i praksis.

Klar til kamp mod datausikkerhed

Det er ikke nogen hemmelighed, at vi hos Lexoforms er tilhængere af det nye datamærke, som sætter fokus på GDPR. Og hvis du vil have et forspring i forhold til dine konkurrenter, står vi klar til at hjælpe dig. Vores løsning er nemlig et GDPR-værktøj, der hjælper dig med let at få styr på og håndtere din GDPR, så du er helt klar, når den nye datamærkningsordning går i luften.

Prøv vores løsning allerede i dag med 14-dages gratis prøveperiode uden binding eller kreditkortoplysninger.

GDPR-regler: Det du har brug for at vide

Bare navnet GDPR – eller den lange udgave persondataforordning – får en til at opgive på forhånd, inden man overhovedet er begyndt at sætte sig ind i reglerne. Desværre er det et nødvendigt onde at forholde sig til i dag, hvis man – i værste fald – vil undgå bøder eller et blakket ry hos ens kunder.

Heldigvis behøver GDPR-regler slet ikke være så komplekse, som alle gør det til. Du skal bare have nogle simple begreber og krav på plads om at håndtere og dokumentere oplysninger på andre end dig selv – og så er den fis slået. Eller næsten i hvert fald.

Lad os få styr på begreberne

Først og fremmest skal vi have én ting på det rene. Når vi taler om GDPR, sidestiller folk det ofte med personfølsomme oplysninger, hvor alt fra CVR-nummer til adresse, telefon og etnisk oprindelse er inkluderet. Det begreb er ikke korrekt at bruge, for i teorien er det kun oplysninger om f.eks. race og etnisk oprindelse, politisk overbevisning og seksuelle forhold eller orientering, der hører under de personfølsomme oplysninger. Derfor er personoplysninger eller personhenførbare oplysninger de korrekte termer at bruge, når vi snakker GDPR generelt. Altså når det er muligt at identificere – føre hen til – personer ud fra specifikke oplysninger.

Udover dem vi allerede har nævnt, så involverer det oplysninger som registreringsnumre, billeder, fingeraftryk, lægejournaler, familieforhold, bolig, navn – og en masse andre ting. Der skal med andre ord ikke meget til, før det kan kategoriseres som personhenførbare oplysninger.

Læs mere på Datatilsynets hjemmeside om, hvad personoplysninger er for en størrelse.

GDPR-regler du skal forholde dig til

GDPR-regler du skal forholde dig til

Hvad skal du tænke på som virksomhed i forhold til GDPR-reglerne? I bund og grund skal du beskytte de oplysninger, du har på kunder, samarbejdspartnere, leverandører, medarbejdere osv., som var de din lille baby. Med andre ord, er det dit ansvar, at de oplysninger du har på folk, lever op til databeskyttelsesforordningen – endnu et langt ord, der er umuligt at huske. Og hvad indebærer det så?

Helt simpelt fortalt er det dit ansvar, at:

  • Spørge om lov før du behandler oplysninger på folk
  • Holde styr på den data, du behandler
  • Fortælle og oplyse folk om alle de oplysninger du har på dem, hvis de ønsker det
  • Fortælle Datatilsynet hvis der er brud på sikkerheden inden for 72 timer
  • Få det på skrift, hvis andre behandler personoplysninger på dine vegne
  • Kunne dokumentere over for Datatilsynet, at du har styr på databeskyttelsen og er lovlydig – herunder ”tekniske og organisatoriske foranstaltninger”

Det lidt længere og mere komplicerede svar finder du hos Datatilsynet her.

Men holdt, vi er ikke færdige. Der er også lige et par principper, du skal overholde som dataansvarlig.

  • Din behandling af data skal være lovlig og gennemsigtig
  • Du skal oplyse folk, hvad du bruger deres oplysninger til og overholde det
  • Begræns databehandlingen ved kun at få den data, du har brug for til at opfylde formålet
  • Registrér alle oplysninger og husk at slette urigtige oplysninger
  • Når det ikke længere er nødvendigt at behandle oplysninger, skal de anonymiseres eller slettes
  • Del ikke ud af fortrolige oplysninger til andre og lad være med at miste eller beskadige dem

Det var da nogenlunde overkommeligt, ikke?

Hvis du vil gå i detaljer, så finder du alt fagsproget om GDPR her.

Virksomheder der har betalt til bødekassen

Størstedelen af de virksomheder, der har været under Datatilsynets lup er virksomheder, der ikke har fundet slettelakken frem. For én ting er at have styr på sine oplysninger. En anden er at huske at slette unødvendige oplysninger som f.eks. oplysninger på gamle kunder, der er listet som femte princip herover.

Ofte er det oplysninger, man lykkeligt har glemt, at man havde, og som gemmer sig i stakken af papirer eller et sted inde i ens CRM-system. Desværre har flere virksomheder måttet finde den store pengepung frem og hoste op til bødekassen. Og det er ikke kun ”slettepolitikken”, der har ramt virksomheder rundt om i verden.

Eksempler på virksomheder, der har måttet betale prisen, er:

Taxaselskabet 4 x 35, der måtte slippe med hele 1,2 mio. kr. for manglende sletning af kundernes oplysninger. Knap 9 mio. personhenførbare taxature, der var blevet gemt uden et formål.

Møbelfirmaet IDdesign måtte punge ud med hele 1,5 mio. kr. – igen på grund af manglende sletning på ca. 385.000 kunder.

British Airways som har fået den hidtil største bøde for GDPR-overtrædelse på hele 1,52 mia. kr. som følge af et hackerangreb sidste år. Her blev kunder ført til en falsk website, hvor de skulle logge ind og aflevere kreditkortoplysninger og oplysninger om bookede rejser.

Google i Frankrig fik en bøde på godt 370 mio. kr. af de franske datamyndigheder for at overtræde ansvar og principper om gennemsigtighed, information og samtykke.

Som du kan se, er det ikke så sjovt, hvis man ikke overholder GDPR-reglerne. Vidste du, at GDPR-lovgivningen giver myndigheder som Datatilsynet ret til at idømme en overtrædende virksomhed en bøde på 150 mio. kr. eller op til 4% af en virksomheds årlige omsætning?

GDPR-regler og personfølsomme oplysninger

Kan det ske for dig?

Og nu tænker du sikkert: ”Jamen, det er jo kun de store fisk, der oplever den form for bøder. Hvordan skulle Datatilsynet overhovedet kunne finde frem til min lille virksomhed?”. Tanken er meget normal, men også farlig, hvis du tror, at du er undtaget Datatilsynets besøgsliste. Årsagen til, at de kommer på besøg, er nemlig oftest, når en kunde, borger eller lignende sladrer om din virksomhed til de store stygge myndigheder.

Faktisk er over halvdelen af GDPR-tilsyn i Europa – ud af 281.088 sager – opstået på baggrund af en klage fra en borger. Så hvis der er nogen, der har et horn i siden på dig eller føler, at deres oplysninger ikke bliver håndteret korrekt, er de ikke bange for at gribe til værks. Og set i lyset af sager som den for nylige Facebook-skandale med Cambridge Analytica og misbrug af personlige oplysninger, kan man egentlig ikke bebrejde folk.

Teknikken skal spille

Under de førnævnte ”passende tekniske og organisatoriske foranstaltninger” handler det især om at sikre sig mod brud på sikkerheden og beskyttelsen af personoplysninger. Her skriver Datatilsynet, at ”For at nå i mål med beskyttelsen af personoplysninger kræves en professionel, struktureret og systematisk tilgang til opgaven, og især i store og mellemstore organisationer, kræver det endvidere ledelsens fokus og opbakning”.

Heldigvis har vi hos Lexoforms et GDPR-værktøj til håndtering af data, der gør det nemt at gå til GDPR på en professionel, struktureret og systematisk måde. Herudover er nøgleordet ”overskueligt”, for i vores optik behøver GDPR slet ikke være så besværligt. Du kan faktisk få system i det på kun et par dage.

Læs selv, hvad Martin Elvind Rasmussen fra nem-HR fortæller om brugen af Lexoforms værktøj.

Du kan også læse mere om Lexoforms og priser her.

Datatilsynet indstiller til første bøde

Datatilsynet har indstillet Taxa 4×35 til den første bøde i Danmark for overtrædelser af reglerne i databeskyttelsesforordningen.

Indstillingen til bøden kommer på baggrund af manglende sletning af kundernes personoplysninger. Næsten 9 mio. personhenførbare data er blevet gemt af selskabet uden noget specifikt formål. Datatilsynet var i efteråret 2018 på et tilsynsbesøg hos Taxa 4×35, hvor det blev vurderet, at kundernes telefonnummer blev opbevaret i selskabets database for længe uden noget særligt formål. I følge Taxa 4×35´s slettepolitik slettes alt kundens data efter to år. Det er imidlertid kun kundens navn, der slettes efter de to år, men altså ikke deres telefonnummer. Telefonnummeret slettes først efter 5 år.

Læs mere om sagen på Datatilsynets egen hjemmeside her.

Det franske datatilsyn giver stor bøde til Google

Det franske datatilsyn CNIL har givet en bøde til Google på 50 millioner euro, svarende til 373 millioner danske kroner. Bøden er givet, da Google ikke må udnytte data på den måde, de gør, til at målrette reklame til deres brugere. CNIL vurderer, at Google udnytter den data de indsamler, og de gør det på en ugennemsigtig måde. Der kræves alt for meget arbejde og mange trin, for at en bruger kan se, hvilke data Google har på brugeren, og dette er ikke hensigtsmæssigt.

Undersøgelserne forud for bøden startede sidste år i juni efter bla. en anmeldelse fra den østrigske organisation None Of Your Business (NOYB), etableret af den østrigske privacy-aktivist Max Schrems.

Google selv siger, at man indhenter accept fra brugerne til at benytte det indsamlede data, men dette samtykke mener CNIL ikke er tilstrækkeligt nok.

Læs mere om sagen her:

Artikel på Version2

Artikel på Computerworld

Risikovurderinger – og kravene til dem

Både den dataansvarlige og databehandleren skal være i stand til at påvise, at behandling er i overensstemmelse med forordningen, jf. artikel 24, og Datatilsynet siger i deres vejledning, at den dataansvarlige, allerede før en behandling foretages, skal foretage en kortlægning over risikoen for de registreredes rettigheder.

Virksomhederne skal derfor altid kunne redegøre for deres risikoovervejelser, forstået på den måde, at de skal have overvejet dels, hvor stor en risiko der er for et brud, og dels hvilke konsekvenser dette brud måtte have for de registrerede personer.

For eksempel vil en hacking af navne og adresser på kunder typisk ikke have nogen særlige konsekvenser for de registrerede personer, medmindre de har hemmelige adresser. I sådanne tilfælde vil virksomheden formentlig kunne nøjes med at henvise til den interne fortegnelse, der dokumenterer, at der ikke er følsomme, særlige eller fortrolige oplysninger i nogen af IT-systemerne eller i nogen af de fysiske registre, og at virksomheden derfor har vurderet, at risikoen er meget lav.

Men har virksomheden følsomme eller fortrolige oplysninger, som man efter den almindelige opfattelse i samfundet ikke ønsker at få offentliggjort, vil der skulle passes særligt meget på disse oplysninger. I så fald vil det være vigtigt at have en skriftlig risikovurdering, der danner grundlag for de sikkerhedsforanstaltninger, som virksomheden har truffet, så virksomheden har dokumentation for dens risikovurderinger.

Oprindelig udgivet den 17. jan 2019, opdateret den 19. maj 2020