Skærpet fokus på risiko

Den 15. maj i år kritiserede Rigsrevisionen en række myndigheder for ikke at gøre nok for at sikre, at personoplysninger opbevares sikkert hos databehandlere. Selv Datatilsynet er blevet kritiseret for ikke at kunne dokumentere, at Datatilsynets planlagte tilsyn er risikobaserede. Datatilsynet arbejder nu på at få et mere dokumenteret og databaseret koncept for udførelsen af de planlagte tilsyn.

Da netop risikovurdering er et gennemgående og bærende krav i GDPR-reglerne, er der derfor stor sandsynlighed for, at kravene til dokumentation af risikovurdering fremover kommer langt mere i søgelyset. Både internt omkring egne it-systemer og eksternt omkring databehandlere – men også medarbejdernes håndtering af personoplysninger er pludselig blevet interessant.

Omkring 2/3 af alle brud på sikkerheden skyldes nemlig menneskelige (medarbejder)fejl, mens resten overvejende skyldes it-sikkerhedsproblemer. De to områder bør derfor fremover være fokusområder for alle virksomheder – også de små og mellemstore.

Risikovurdering kan være lidt kompliceret, og skal foretages i tre faser:

1. Kortlæg risiko

Først skal det vurderes, hvor vidt der er fx risiko for…

  • hændelig eller ulovlig tilintetgørelse af personoplysninger
  • tab eller ændring af personoplysninger
  • uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet
  • det kan fx være mails sendt til en forkert modtager med den konsekvens, at der sker…
    • identitetstyveri eller -svig
    • skade på omdømme
    • forskelsbehandling
    • økonomiske tab
  • tab af fortrolighed for personoplysninger, der er omfattet af tavshedspligt
  • uautoriseret ophævelse af pseudonymisering
  • forhindring i udøvelse af kontrol med sine personoplysninger eller
  • andre betydelige økonomiske eller sociale konsekvenser


For revisorer, advokater og andre omfattet af tavshedspligt gælder specifikt, at de er forpligtet til at vurdere, hvilke risici der er forbundet med tavshedspligten, herunder om der er risiko for, at de indsamlede oplysninger er forkerte, eller om der er risiko for, at manglende underretning vil kunne skade den registrerede.

2. Kategorisering af risikoen

Dernæst skal hver risiko tildeles en score (høj, mellem eller lav) ud fra sandsynlighed og alvorlighed (konsekvens) bl.a. vurderet ud fra…

  • kategorien af personoplysninger
    • almindelige, følsomme eller fortrolige personoplysninger?
    • sker der automatisk profilering eller automatiserede afgørelser?
    • hvor stort et omfang har oplysningerne?
  • den sammenhæng oplysningerne behandles i
    • fx kobling af personnavn og adresse i et fængsel eller en institution
  • formålet med behandlingen af data
3. Vurdering af tekniske og organisatoriske foranstaltninger

Sidst skal det vurderes, hvilke tekniske og organisatoriske foranstaltninger, der er passende for at minimere risici inkl. dokumentation for, at foranstaltningerne er gennemført. Eksempler er…

Foranstaltning
Tekst
FirewallDer er etableret og løbende vedligeholdt en firewall, som sikrer gennemførelse af virksomhedens sikkerhedspolitik, herunder fx spærring for adgang til suspekte hjemmesider.
OpdateringerServere og computere ajourføres løbende med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer.
AntivirusDer er etableret et virusværn, som løbende holdes ajour.
Internet og e-mailOpsætning af sikkerhedsindstillinger i browsere og e-mail programmer på alle computere er etableret, så der opnås den ønskede sikkerhed omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins mv.).
Overførsel af følsomme dataAlle følsomme persondata inkl. CPR-numre krypteres ved overførsel via internettet. Kryptering omfatter også overførsel af data hvor opbevaring og/eller behandling foregår efter tilladelse fra Datatilsynet. Dette gælder også overførsel af evt. login oplysninger.
Hjemmesider / krypteringKommunikation via hjemmesider hvor der benyttes persondata sikres ved hjælp af SSL-kryptering el.lign. Der er mulighed for at implementere forskellige grader af kryptering inkl. såkaldt “stærk kryptering” (128 bit SSL/TLS-forbindelse). Hvis brugere via hjemmesiden får adgang til personoplysninger (fx om sig selv), er det sikret, at oplysningerne ikke udleveres til uvedkommende – enten via kryptering eller pinkode/digital signatur.
LogningDet registreres, hvis der er forgæves forsøg på at få adgang til it-systemer med følsomme personoplysninger. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, blokeres der for yderligere forsøg.
FjernadgangDer er dobbelt logon (2-faktor) ved fjernadgang til virksomhedens IT-systemer.
SletningDer udføres løbende kontrol med sletning af personoplysninger ud fra beskrivelsen i den Interne Fortegnelse.
AdgangSystemer sættes op, så ansatte kun har adgang til de personoplysninger, som de har brug for i forbindelse med løsning af deres arbejdsopgaver.
IT værktøjerSystemet sættes op, så det er let for de ansatte at arbejde med kryptering af følsomme personoplysninger og personnumre.
Back-UpDer foretages jævnligt backup, der gemmes på andre medier eller miljøer end produktion, som fx bånd, eksterne backup lokationer ol.lign. pseudonymisering og kryptering af personoplysninger.
MedarbejderinstruksEn meget detaljeret medarbejderinstruks, der gennemgås jævnligt med alle medarbejdere.

GDPR-reglerne stiller store krav – også til små virksomheder. Så husk at gemme sikkerhedsvurderingen, så det kan dokumenteres at den er foretaget, og de nævnte sikkerhedsforanstaltninger er gennemført.

God arbejdslyst!

Del dette indlæg

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Har du spørgsmål?

Har du spørgsmål omkring GDPR, vores løsning eller andet, kan du booke et møde med Martin eller Daniel. Book 15 min., 30 min. eller en time

Andre artikler

GDPR

GDPR i sundhedssektoren

Arbejder du i sundhedssektoren, ved du, hvor mange fortrolige og følsomme persondata, der dagligt registreres, gemmes, behandles og sendes. Disse data

Læs mere
GDPR

GDPR i IT-afdelingen

IT-afdelingen er på mange måder helt central for GDPR-indsatsen i de fleste virksomheder. Det er her, persondata opbevares – og det

Læs mere
GDPR

Er din hjemmeside lovlig?

I 2023 analyserede Digitaliseringsstyrelsen 11.000 .dk-hjemmesider og fandt, at både pixels og cookies i vid udstrækning stadig bruges til at spore

Læs mere

Ja tak – send mig jeres nyhedsbrev

Vil du vide mere?

Book et møde , når det passer dig – eller bliv ringet op.