Løbende risikovurdering er afgørende for at overholde GDPR

Siden GDPR-reglerne trådte i kraft den 25. maj 2018, har Datatilsynet ført en del tilsyn. På baggrund af de erfaringer, der nu er gjort, og de bøder, der er givet, er det vigtigt, at virksomheder vurderer sandsynligheden for uønskede hændelser i forhold til GDPR i form af løbende risikovurderinger.
Nyhed
GDPR

Løbende risikovurdering betyder,  at virksomheder løbende skal tilpasse sine processer og sikkerhedstiltag, så de passer til de risici, der er forbundet med virksomhedens behandling af personoplysninger. Gør en virksomhed ikke det, kan virksomheden i sidste ende risikere store bøder på op til 4% af virksomheders globale koncernomsætning.

Risikobaseret tilgang

Tilgangen til persondatabeskyttelse er i bred forstand risikobaseret. Det vil sige, at den dataansvarlige, allerede før den dataansvarlige iværksætter en given behandling af personoplysninger, skal foretage en vurdering af de risici, der er forbundet med den pågældende behandling af personoplysninger og sørge for, at de sikkerhedsforanstaltninger, som den dataansvarlige har implementeret, er tilstrækkelige til at sikre, at personoplysningerne er tilstrækkeligt beskyttet, og at de registrerede kan benytte de rettigheder, der tilkommer de registrerede ifølge GDPR.

Få overblik over dine data og dine systemer

Generelt skal virksomheder fortage en vurdering af hvilke passende ”tekniske og organisatoriske foranstaltninger”, der skal til for at overholde GDPR-reglerne. Virksomheden skal også kunne dokumentere, at virksomheden faktisk har truffet passende foranstaltninger for at sikre, at GDPR overholdes.

Det forudsætter, at virksomheden først identificerer, hvor i virksomheden, der sker behandling af personoplysninger, herunder i hvilke systemer, til hvilke formål og med hvilket behandlingsgrundlag (behandlingshjemmel). I nogen tilfælde bør virksomheden også foretage en egentlig konsekvensanalyse (også kendt som en ”Privacy Impact Assessment” eller ”PIA”) af en påtænkt behandling af personoplysninger. Det kan f.eks. være tilfældet, hvis virksomheden indfører et nyt IT-system, der skal bruges til at behandle følsomme eller fortrolige personoplysninger i større omfang.

Sandsynligheds- og konsekvensvurdering

Ved vurdering af sandsynligheden for at der opstår en uønsket hændelse i forhold til IT-sikkerhed, kan virksomheder især inddrage følgende elementer i vurderingen:

  1. En konkret vurdering af trusler
  2. Tiltag, der allerede er implementeret for det givne system

Dernæst bør virksomheder generelt vurdere konsekvensen ved hændelser for:

  • Virksomhedens IT-systemer
  • Om systemerne er sårbare for angreb udefra
  • Hvordan virksomheden internt træner sine medarbejdere og afklare, hvem der har den fornødne erfaring

Konsekvensanalysen bliver på den måde et redskab, der bidrager til at skabe og dokumentere overensstemmelse mellem virksomhedens sikkerhedstiltag og de risici, der er forbundet med virksomhedens aktiviteter.

Løbende risikovurdering

Databeskyttelse er ikke blot et krav, der udspringer af GDPR, men giver også kunder øget tryghed og bedre kundeoplevelser.

Arbejdet med risikovurderinger er derfor ikke noget, virksomheder skal udføre og afslutter én gang for alle. Det er en løbende proces, der kræver opfølgning. Hver gang der sker ændringer i virksomhedens IT-systemer eller forretningsgange, og hver gang nye systemer tages i brug, bør virksomheden vurdere, om de tiltag, som virksomheden har implementeret, stadig yder tilstrækkelig beskyttelse sammenholdt med de konkrete risici, virksomhedens behandling af personoplysninger medfører.

Har du spørgsmål til GDPR og brug for hjælp til at sikre, at du overholder reglerne, eller til at foretage en vurdering af de risici, som netop din virksomheds behandling af personoplysninger indebærer, er du velkommen til at kontakte vores specialister i GDPR og databeskyttelse associeret partner, IT-advokat Torsten Hylleberg eller advokat Anders Linde Reislev.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR