GDPR - Persondata - Blog - Risikovurderinger - og kravene til dem

Risikovurderinger – og kravene til dem

Både den dataansvarlige og databehandleren skal være i stand til at påvise, at behandling er i overensstemmelse med forordningen, jf. artikel 24, og Datatilsynet siger i deres vejledning, at den dataansvarlige, allerede før en behandling foretages, skal foretage en kortlægning over risikoen for de registreredes rettigheder.

Virksomhederne skal derfor altid kunne redegøre for deres risikoovervejelser, forstået på den måde, at de skal have overvejet dels, hvor stor en risiko der er for et brud, og dels hvilke konsekvenser dette brud måtte have for de registrerede personer.

For eksempel vil en hacking af navne og adresser på kunder typisk ikke have nogen særlige konsekvenser for de registrerede personer, medmindre de har hemmelige adresser. I sådanne tilfælde vil virksomheden formentlig kunne nøjes med at henvise til den interne fortegnelse, der dokumenterer, at der ikke er følsomme, særlige eller fortrolige oplysninger i nogen af IT-systemerne eller i nogen af de fysiske registre, og at virksomheden derfor har vurderet, at risikoen er meget lav.

Men har virksomheden følsomme eller fortrolige oplysninger, som man efter den almindelige opfattelse i samfundet ikke ønsker at få offentliggjort, vil der skulle passes særligt meget på disse oplysninger. I så fald vil det være vigtigt at have en skriftlig risikovurdering, der danner grundlag for de sikkerhedsforanstaltninger, som virksomheden har truffet, så virksomheden har dokumentation for dens risikovurderinger.

Oprindelig udgivet den 17. jan 2019, opdateret den 19. maj 2020