Indhold

Risikovurderinger

Efter du har udarbejdet din kortlægning, skal du foretage en risikovurdering på hver af processerne/behandlingsaktiviteterne. Der er flere årsager til dette. 1. Alle behandlingsaktiviteter der er høj risiko skal meldes til Datatilsynet (det er de færreste virksomheder der har disse). 2. Passende tekniske og organisatoriske foranstaltninger som skal implementeres for at sikre personoplysninger modhændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, skal baseres på en risikovurdering 3. De krav der stilles til datahandlere og underdatabehandlere der benyttes i processen skal baseres på risikovurderingen.

Kort fortalt, så foretager du en risikovurdering ved at udarbejde en vurdering af sandsynligheden for hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, og konsekvensen for den/de registrerede hvis det skulle ske.

Hvis du kun behandler almindelige personoplysninger, er der typisk lavere konsekvens for de registrerede, end hvis du behandler følsomme oplysninger. Uanset oplysningernes art skal vurderingen foretages.

Du skal i din risikovurdering angive, hvilke tiltag eller handlinger, du vil foretage for at nedbringe risikoen, hvis risikoen for den registrerede er høj. Der skal udarbejdes en risikovurdering for hver proces/behandlingsaktivitet, som du har oprettet under din kortlægning af arbejdsprocesser hvori der indgå behandling af personoplysninger herunder bl.a. medarbejdere og HR, salg, marketing, IT, økonomi og administration, indkøb, jura mf.

Tips til implementering af nye arbejdsgange og processer

Det kan være lidt af en udfordring at ændre på arbejdsgange og arbejdsprocesser i de forskellige afdelinger, så du kan begynde med at se på, om der er nogle behandlinger af personoplysninger i din virksomhed, hvor kombinationen af en høj sandsynlighed og konsekvens resulterer i en samlet høj risiko.

Hvordan griber du opgaven an?

  • Start med at identificere og vurdere risici ved din virksomheds behandling af personoplysninger. Fra fortegnelsen ved du, hvilke personoplysninger du har, hvor de befinder sig, hvordan du behandler dem, og hvordan de udveksles mellem dine systemer. Herunder kan det være relevant at undersøge og klarlægge følgende:
    • Hvilke systemer anvendes i din virksomhed (brug oplysningerne du fandt i kortlægningen)?
    • Hvem har ansvaret for systemerne (har du selv ansvaret, eller er der fx en leverandør)?
    • Hvordan fungerer systemet (formål og funktionalitet)?
    • Trækkes personoplysningerne fra andre systemer og i så fald hvilke?
  • Derefter identificerer du de mulige tekniske og organisatoriske foranstaltninger, der skal foretages. Foranstaltningerne skal/kan benyttes alt efter, hvad der er relevant.
    • Tekniske foranstaltninger kan være - Antivirus herunder nye typer antivirus, der også kan detektere nye vira - Firewall - Antispam og -phishing filtre - IDPS (system overvågning og alarmering ved ens perimetersikring) - Endpointsecurity - Kryptering - Logging - Pseudonymisering/anonymisering - Sårbarhedsskanning og penetrationstests - Løbende opdatering af software, herunder vedligeholdelse af systemer ved patching - IAM systemunderstøttelse - Adgangskontrol baseret på multifaktorautentifikation - Klassifikation af data fx almindelige, fortrolige, hemmelige og tophemmelige - Netværkssegmentering og isolering - Mobile device management dvs. systemer der kan sikre og gennemtvinge sikkerhedspolitikker på mobile enheder.
    • Organisatoriske foranstaltninger kan være - IT-sikkerhedspolitik - ISMS (information security management system) - Fortegnelse over informationsaktiviteter - Risikovurdering - Træning af medarbejdere og løbende awareness - Løbende identifikation af regler og praksis - Identity og access governance.
  • Herefter gennemgår du hvilke foranstaltninger, der imødegår relevante risici, så du opnår et passende sikkerhedsniveau.
  • Sidste punkt er at implementere de relevante foranstaltninger
    • Når du har overblikket over, hvad der skal gøres, er det en fordel at lave en prioriteret liste med rækkefølgen, foranstaltningerne skal foretages.

Hvis du vil vide mere om risikovurderinger, kan du læse videre i denne vejledning fra Datatilsynet: https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf

Hvilke sikkerhedsforanstaltninger, du vil implementere, er op til dig. Forordningen stiller ingen minimumskrav og har ikke udarbejdet konkrete forpligtelser ift. hvilke sikkerhedsforanstaltninger der træffes. Dog har Datatilsynet meldt ud at følsomme og fortrolige personoplysninger skal sendes krypteret over internettet Det er således op til dig at vurdere, hvad der er nødvendigt.

Efter en vurdering er det vigtigt, at du beskriver de overvejelser, du har gjort dig under processen, så du derved kan dokumentere, at du har undersøgt samtlige omstændigheder og har taget stilling til, hvilke sikkerhedsforanstaltninger der er nødvendige at implementere i din virksomhed.

Eksempel på risikovurderingsskema

Proces Sandsynlighed Konsekvens Risikorating Bemærkning Plan og ansvarlig
Modtagelse af ansøgninger Mindre sandsynligt Kritisk Middel Ansøgninger gemmes på lukket lederdrev og slettes efter gennemgang HR Chef

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400