Risikovurderinger – og dokumentationen heraf

Risikovurderinger og dokumentationen af dem – det er ikke så let …

Risikovurdering er et gennemgående og bærende krav i reglerne om beskyttelse af personoplysninger.

Rigsrevisionen har den 15. maj 2020 i en beretning til statsrevisorerne kritiseret en række myndigheder for ikke at have gjort nok for at sikre, at personoplysninger opbevares sikkert hos databehandlere. Selv Datatilsynet er blevet kritiseret for ikke at kunne dokumentere, at Datatilsynets planlagte tilsyn er risikobaserede. Datatilsynet arbejder derfor på at få et mere dokumenteret og databaseret koncept for udførelsen af de planlagte tilsyn.

Vi må derfor forvente et øget fokus på, at vi kan dokumentere vores vurdering af risici i vores virksomhed – både hvad angår it-systemer i egen virksomhed og hos databehandlere og også hvad angår medarbejdernes håndtering af personoplysninger.

Typisk opstår brud på sikkerheden pga. medarbejderfejl (ca. 2/3 af anmeldte brud) eller pga. it-sikkerhedsproblemer.

Så de to områder skal især være fokusområder for alle virksomheder, også de små og mellemstore.

Det er ikke så nemt, men skal ske i tre faser:

1: Kortlægning over risikoen, kan f.eks. være

  • hændelig eller ulovlig tilintetgørelse af personoplysninger
  • tab eller ændring af personoplysninger
  • uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet med den, f.eks. mails sendt til en forkert modtager – og med den konsekvens, at der sker
  • identitetstyveri eller -svig
  • skade på omdømme
  • forskelsbehandling
  • økonomiske tab
  • tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt,
  • uautoriseret ophævelse af pseudonymisering
  • forhindring i udøvlse af kontrol med sine personoplysninger eller
  • andre betydelige økonomiske eller sociale konsekvenser

For revisorer og andre, der er omfattet af tavshedspligt (f,eks, advokater) gælder specielt, at de er forpligtede til at overveje, hvilke risici der er forbundet med tavshedspligten, herunder om der vil være en risiko for, at de indsamlede oplysninger er forkerte, eller om der vil være en risiko for, at den manglende underretning vil kunne skade den registrerede.

2: Kategorisering af risikoen

Der skal laves en scoring ud fra sandsynlighed og alvorlighed (konsekvens). Er risikoen høj, mellem eller lav, vurderet f.eks. ud fra

  • kategorien af personoplysninger (er det almindelige – eller særlige – eller følsomme personoplysninger), sker der profilering, automatiserede afgørelser, hvor stort et omfang oplysningerne har mm.
  • sammenhængen oplysningerne behandles i (f.eks. personers navne med deres adresser på fængsler eller andre institutioner) og
  • formålet med behandlingen

3: Vurdering af tekniske og organisatoriske foranstaltninger

En vurdering af, hvad der er passende tekniske og organisatoriske foranstaltninger, til at sørge for, at flest mulige risici begrænses – og dokumentation af foranstaltningernes gennemførelse. Det kunne f.eks. være

Firewall

Der er etableret og løbende vedligeholdt en firewall, som sikrer gennemførelse af virksomhedens sikkerhedspolitik, herunder f.eks. spærring for adgang til suspekte hjemmesider.

Opdateringer

Servere og computere ajourføres løbende med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer.

Antivirus

Der er etableret et virusværn, som løbende holdes ajourført .

Internet og e-mail

Opsætning af sikkerhedsindstillingerne i browseren og e-mail programmet på de enkelte computere er etableret, så der opnås den ønskede sikkerhedspolitik omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins, m.v.).

Overførsel af følsomme data

Sker evt. overførsel via internettet af følsomme persondata herunder også CPR-numre, krypteres de altid. Ligeledes sker der kryptering af overførsel af data hvor opbevaring / behandling foregår efter tilladelse fra datatilsynet. Dette gælder også for overførsel af evt. login oplysninger.

Hjemmesider / kryptering

Kommunikationen via hjemmesider hvor der benyttes persondata sikres ved hjælp af SSL kryptering e.l. Der er mulighed for at implementere forskellige grader af kryptering, herunder også det, der betegnes som “stærk kryptering” (128 bit SSL/TLS-forbindelse). Hvis brugere via hjemmesiden får adgang til personoplysninger – f.eks. om sig selv – skabes der sikkerhed for, at oplysningerne ikke udleveres til uvedkommende. Dette sikres enten med kryptering eller med pinkode / digital signatur

Logning

Det registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personaleoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, blokeres der for yderligere forsøg.

Fjernadgang

Der er dobbelt logon (2-factor) ved fjernadgang til virksomhedens IT-systemer.

Sletning

Det udføres løbende kontrol med at der gennemføres sletning af personoplysninger, ud fra hvad der er beskrevet i den interne fortegnelse

Adgang

Systemer sættes op, så ansatte kun har adgang til de personoplysninger, som de har brug for i forbindelse med løsning af deres arbejdsopgaver

IT Værktøjer

Systemet sættes op, så det er enkelt for de ansatte at arbejde med kryptering af følsomme personoplysninger og personnumre.

Backup

Der foretages jævnligt back-up, der gemmes på andre medier/miljøer end produktion, eks. bånd, eksterne backup lokationer og lign.pseudonymisering og kryptering af personoplysninger

Medarbejderinstruks

En meget detaljeret medarbejderinstruks, der gennemgås jævnligt med alle medarbejdere .

Og denne sikkerhedsvurdering bør gemmes, så det kan dokumenteres, dels at den er foretaget, og dels at de nævnte sikkerhedsforanstaltninger er gennemført.

GDPR-reglerne stiller store krav – også til vores små virksomheder.

Jeg håber, at Datatilsynet snart kommer med en mere udførlig vejledning til støtte for virksomhedernes risikovurderinger.

 

Denne artikel er skrevet af Wivi H. Larsen, partner og advokat (H), Lexoforms A/S.