Risikovurderinger – og kravene til dem - Lexoforms
16721
post-template-default,single,single-post,postid-16721,single-format-standard,ajax_fade,page_not_loaded,,qode-child-theme-ver-1.0.0,qode-theme-ver-11.2,qode-theme-bridge,wpb-js-composer js-comp-ver-5.2.1,vc_responsive

Risikovurderinger – og kravene til dem

Risikovurderinger – og kravene til dem

Datatilsynet vil ofte bede om en skriftlig risikovurdering, og alle virksomheder har en pligt til at lave en risikovurdering, men der er efter persondatareglerne ingen pligt til at lave den skriftligt.

 

Men virksomhederne skal altid kunne redegøre for deres risikoovervejelser, forstået på den måde, at de skal have overvejet, dels hvor stor en risiko, der er for et brud og dels have overvejet, hvilke konsekvenser dette brud måtte have for de registrerede personer.

For eksempel vil en hacking af navne og adresser på kunder typisk ikke have nogen særlige konsekvenser for de registrerede personer, medmindre de har hemmelige adresser. I sådanne tilfælde vil virksomheden formentlig kunne nøjes med at henvise til den interne fortegnelse, der dokumenterer, at der ikke er følsomme, særlige eller fortrolige oplysninger i nogen af it-systemerne eller i nogen af de fysiske registre, og at virksomheden derfor har vurderet, at risikoen er meget lav.

 

Men har virksomheden følsomme eller fortrolige oplysninger, som man efter den almindelige opfattelse i samfundet ikke ønsker at få offentliggjort, vil der skulle passes særligt meget på disse oplysninger, og i så fald vil det være vigtigt at have en skriftlig risikovurdering, der danner grundlag for de sikkerhedsforanstaltninger, som virksomheden har truffet, så virksomheden har dokumentation for dens risikovurderinger.