Ethvert brud skal vurderes særskilt
Et eksempel kunne være et hackerangreb, hvor kundenavne og -adresser er blevet hacket. Selvom det lyder kritisk, vil det sjældent have nogen alvorlige konsekvenser for de registrerede personer. Med mindre de altså har hemmelige adresser.
I et sådant tilfælde vil I som virksomhed formentlig kunne nøjes med at henvise til den interne fortegnelse. Den skal dokumentere, at der ikke er følsomme, særlige eller fortrolige oplysninger i hverken IT-systemer eller fysiske registre. Derfor har I vurderet, at risikoen er meget lav.
Følsomme data kræver mere
Men har I som virksomhed følsomme eller fortrolige oplysninger, som efter gængs opfattelse ikke bør offentliggøres, skal I passe særligt godt på disse oplysninger. I så fald er det vigtigt, at I skriftligt kan dokumentere de overvejelser, der ligger bag den risikovurdering, der igen danner grundlag for de sikkerhedsforanstaltninger, I har truffet.