Gennemførelsen af en eller flere risikovurderinger – samt at føre dokumentation herfor – er et af databeskyttelsesforordningens nye krav. Datatilsynet og Rådet for Digital Sikkerhed belyser nu kravene til indholdet af risikovurderingen i en ny vejledende tekst fra juni 2019. Vi ser nærmere på de vigtigste elementer af risikovurderingen, og hvordan den gennemføres.

Har din organisation gennemført en risikovurdering, der dækker alle jeres behandlinger af personoplysninger, og kan I dokumentere det? Kravet om gennemførelsen af en risikovurdering betyder, at den dataansvarlige – allerede inden en behandling af personoplysninger foretages – skal have vurderet risikoen for de registreredes rettigheder og have foretage en afvejning af, hvilke sikkerhedsforanstaltninger der bør etableres for at imødegå risiciene.

Databeskyttelsesforordningen stiller ingen formkrav til risikovurderingen, men med en ny vejledende tekst giver Datatilsynet og Rådet for Digital Sikkerhed nærmere retningslinjer for, hvad gennemførelsen af risikovurderingen bør indeholde.

Risikovurderingen

Af den vejledende tekst fra Datatilsynet og Rådet for Digital Sikkerhed fremgår, at der i arbejdet med personoplysnings­sikkerhed er tre grundlæggende parametre, som skal være på plads:

  • Fortrolighed (beskyttelse mod uautoriseret adgang eller videre­givelse)
  • Tilgængelighed (beskyttelse mod uautoriseret adgangsbegrænsning for personer, der har retmæssig adgang)
  • Integritet (beskyttelse mod uautoriserede ændringer eller ødelæggelse).

Med henblik på sikring heraf angiver den vejledende tekst følgende fremgangsmåde:

Konsekvensvurdering

For hvert informationsaktiv, det vil sige servere, it-systemer, kommunikations­­kanaler mv., hvor der behandles eller opbevares persono­plysninger, skal den dataansvarlige fastlægge konsekvensen (lav, medium, høj) ved tab af aktivets fortrolighed, tilgængelighed og integritet. Den dataansvarlige bestemmer selv detaljeringsgraden og kan selv bestemme, om der skal foretages en samlet vurdering for de tre sikkerhedsparametre eller en vurdering for hvert parameter.

Trusselsvurdering

Herefter skal det identificeres, hvilke trusler informationsaktiverne står over for. Når alle trusler er blevet identificeret, skal det for den enkelte trussel vurderes, hvad sandsynligheden er for, at truslen indtræder (lav, medium, høj).

Sårbarhedsvurdering

Dernæst skal den dataansvarlige kortlægge, hvilke sikkerheds­foranstaltninger den dataansvarlige allerede har indført. Disse sikkerheds­foranstaltningers bidrag til at reducere konsekvensen og sandsynligheden skal herefter vurderes.

Risikobilledet

Afslutningsvis skal der på baggrund af de forudgående vurderinger laves et samlet risikobillede.

Datatilsynets vejledende tekst inde­holder følgende formel til udarbejdelsen af det samlede risikobillede: (konsekvensen gange sand­synligheden) minus eksisterende foranstaltninger = risikoen.

Den dataansvarlige skal på baggrund heraf vurdere, om der skal iværksættes yderligere sikkerhedsforanstaltninger som følge af, at den dataansvarlige i henhold til databeskyttelses­forordningens artikel 32 er forpligtet til at indføre passende tekniske og organisatoriske foranstaltninger, der passer til de risici, som er blevet identificeret.

Husk, at risikovurderingen løbende skal opdateres, da den teknologiske udvikling medfører, at der hele tiden opstår nye eller ændrede trusler, du som data­ansvarlig skal forholde dig til.

Med den nye vejledning lægges der op til, at gennemførelsen af den data­ansvarliges risikovurdering kræver en stor indsats fra den dataansvarlige. Hvis jeres organisation har brug for rådgivning om risikovurdering, står Hortens persondatateam klar til at hjælpe jer.

Forfattere

Christoffer Alsted Skafte

Advokat