Risikovurderinger

Sådanne løbende vurderinger skal bl.a. foretages i forbindelse med implementering af nye IT-systemer, nye behandlingsaktiviteter, ændring af interne virksomhedsprocessor og brug af nye leverandører mv. Datatilsynet har sammen med Rådet for Digital Sikkerhed udarbejdet en vejledende tekst om risikovurdering, der kan bidrage til arbejdet med at identificere de føromtalte risici, herunder sandsynligheden for, at de udløser en sikkerhedshændelse, og hvad konsekvensen i så fald vil være. Som led heri indebærer risikovurderingen en stillingtagen til, om man som dataansvarlig eller databehandler kan acceptere denne risiko for de registrerede, eller om nye sikkerhedsforanstaltninger er påkrævet for at få bragt risikoen ned på et acceptabelt niveau.

Hvis man tidligere har arbejdet med sikkerhed, vil man formentlig genkende mange af overvejelserne og foranstaltningerne fra god sikkerhedspraksis og ISO 27000-standarderne. Bemærk dog, at det ved risikovurderinger efter databeskyttelsesforordningen er risikoen for den registrerede, der er i centrum, og ikke for virksomhedens forretningsmæssige og kommercielle interesser. Dette er altafgørende at have in mente for at leve op til databeskyttelsesforpligtelserne. Eksisterende risikovurderinger af IT-sikkerheden fra før databeskyttelsesforordningen vil således i de fleste tilfælde ikke være tilstrækkelige, men skal suppleres med vurderinger ud fra de registreredes rettigheder.

Hvornår skal der foretages risikovurderinger?

Forpligtelsen til at foretage løbende risikovurderinger er en forudsætning flere steder i databeskyttelsesforordningen.

For det første er der en helt generel forpligtelse for den dataansvarlige til at gennemføre passende tekniske og organisatoriske foranstaltninger, herunder sikkerhedsforanstaltninger samt passende databeskyttelsespolitikker og -procedurer. For at kunne vurdere, hvad der er passende, må der foretages en vurdering af de risici, der er forbundet med virksomhedens behandling af personoplysninger.

For det andet anvendes risikovurderinger bl.a. også i forbindelse med vurderingen af et brud på persondatasikkerheden. Det er nemlig afgørende for vurderingen af, hvorvidt der skal ske henholdsvis anmeldelse til Datatilsynet og eventuelt underretning til de registrerede, i hvilket omfang bruddet indebærer en risiko for de registrerede.

Endelig kan som eksempel nævnes forpligtelsen til at foretage en konsekvensanalyse vedr. databeskyttelse i de tilfælde, hvor en ny behandlingsaktivitet sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Forud herfor er den dataansvarlige nødt til at foretage en risikovurdering.

En risikovurdering er således en meget konkret vurdering, der tager udgangspunkt i lige netop den pågældende dataansvarliges/databehandlers enkelte behandlingsscenarie. Det gør, at de påkrævede foranstaltninger bliver langt mere relevante og effektive. Det stiller naturligvis også høje krav til dem, der behandler personoplysninger, idet man på eget initiativ skal foretage disse løbende vurderinger, og ikke bare kan gå ud fra en standardliste over ”passende sikkerhedsforanstaltninger”.

Det bemærkes hertil, at det er Datatilsynets opfattelse, at den dataansvarlige/databehandleren ikke vil være i stand til at dokumentere, at denne har implementeret et passende sikkerhedsniveau, hvis der ikke er blevet foretaget risikovurderinger, eftersom den dataansvarlige/databehandleren netop ikke vil være i stand til at vide, om foranstaltningerne faktisk er passende.

Hvordan foretages risikovurderingerne?

Hverken databeskyttelsesforordningen eller Datatilsynet angiver konkrete krav til form, indhold eller omfang af en risikovurdering. Det er derfor op til den dataansvarlige eller databehandleren selv at beslutte dette ud fra sine egne, konkrete omstændigheder.

I forbindelse med vurderingen af de sikkerhedsforanstaltninger, der er nødvendige for at sikre et passende sikkerhedsniveau, fremhæver Datatilsynet dog tre grundlæggende parametre i den vejledende tekst, som bør indgå i enhver risikovurdering:

• Fortrolighed (oplysningerne skal beskyttes mod uvedkommendes adgang)
• Tilgængelighed (oplysningerne skal være tilgængelige for dem, der har retmæssig adgang)
• Integritet (oplysningerne skal beskyttes mod uautoriseret ændring eller ødelæggelse)
  
  

Med disse parametre i tankerne kan man herefter gennemgå følgende trin i sin risikovurdering:

Herefter vurderes det samlede risikobillede ved at fastlægge, hvad konsekvensen og sandsynligheden for risikoens indtræden er sammenholdt med eksisterende foranstaltninger. Den dataansvarlige/databehandleren kan på den baggrund træffe en beslutning om, hvorvidt risikoen er acceptabel, eller om der skal implementeres yderligere foranstaltninger til at få risikoen ned på et acceptabelt niveau.

Brugbare værktøjer

Bagerst i den vejledende tekst fra Datatilsynet og Rådet for Digital Sikkerhed oplistes en række links til brugbare værktøjer, herunder en skabelon til risikovurderinger med tilhørende skabelon til vejledning. Du finder den vejledende tekst om risikovurderinger her.

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.