Løbende risikovurdering er afgørende for at overholde GDPR

Siden GDPR-reglerne trådte i kraft den 25. maj 2018, har Datatilsynet ført en del tilsyn. På baggrund af de erfaringer, der nu er gjort, og de bøder, der er givet, er det vigtigt, at virksomheder vurderer sandsynligheden for uønskede hændelser i forhold til GDPR i form af løbende risikovurderinger.
News
GDPR

Løbende risikovurdering betyder,  at virksomheder løbende skal tilpasse sine processer og sikkerhedstiltag, så de passer til de risici, der er forbundet med virksomhedens behandling af personoplysninger. Gør en virksomhed ikke det, kan virksomheden i sidste ende risikere store bøder på op til 4% af virksomheders globale koncernomsætning.

Risikobaseret tilgang

Tilgangen til persondatabeskyttelse er i bred forstand risikobaseret. Det vil sige, at den dataansvarlige, allerede før den dataansvarlige iværksætter en given behandling af personoplysninger, skal foretage en vurdering af de risici, der er forbundet med den pågældende behandling af personoplysninger og sørge for, at de sikkerhedsforanstaltninger, som den dataansvarlige har implementeret, er tilstrækkelige til at sikre, at personoplysningerne er tilstrækkeligt beskyttet, og at de registrerede kan benytte de rettigheder, der tilkommer de registrerede ifølge GDPR.

Få overblik over dine data og dine systemer

Generelt skal virksomheder fortage en vurdering af hvilke passende ”tekniske og organisatoriske foranstaltninger”, der skal til for at overholde GDPR-reglerne. Virksomheden skal også kunne dokumentere, at virksomheden faktisk har truffet passende foranstaltninger for at sikre, at GDPR overholdes.

Det forudsætter, at virksomheden først identificerer, hvor i virksomheden, der sker behandling af personoplysninger, herunder i hvilke systemer, til hvilke formål og med hvilket behandlingsgrundlag (behandlingshjemmel). I nogen tilfælde bør virksomheden også foretage en egentlig konsekvensanalyse (også kendt som en ”Privacy Impact Assessment” eller ”PIA”) af en påtænkt behandling af personoplysninger. Det kan f.eks. være tilfældet, hvis virksomheden indfører et nyt IT-system, der skal bruges til at behandle følsomme eller fortrolige personoplysninger i større omfang.

Sandsynligheds- og konsekvensvurdering

Ved vurdering af sandsynligheden for at der opstår en uønsket hændelse i forhold til IT-sikkerhed, kan virksomheder især inddrage følgende elementer i vurderingen:

  1. En konkret vurdering af trusler
  2. Tiltag, der allerede er implementeret for det givne system

Dernæst bør virksomheder generelt vurdere konsekvensen ved hændelser for:

  • Virksomhedens IT-systemer
  • Om systemerne er sårbare for angreb udefra
  • Hvordan virksomheden internt træner sine medarbejdere og afklare, hvem der har den fornødne erfaring

Konsekvensanalysen bliver på den måde et redskab, der bidrager til at skabe og dokumentere overensstemmelse mellem virksomhedens sikkerhedstiltag og de risici, der er forbundet med virksomhedens aktiviteter.

Løbende risikovurdering

Databeskyttelse er ikke blot et krav, der udspringer af GDPR, men giver også kunder øget tryghed og bedre kundeoplevelser.

Arbejdet med risikovurderinger er derfor ikke noget, virksomheder skal udføre og afslutter én gang for alle. Det er en løbende proces, der kræver opfølgning. Hver gang der sker ændringer i virksomhedens IT-systemer eller forretningsgange, og hver gang nye systemer tages i brug, bør virksomheden vurdere, om de tiltag, som virksomheden har implementeret, stadig yder tilstrækkelig beskyttelse sammenholdt med de konkrete risici, virksomhedens behandling af personoplysninger medfører.

Har du spørgsmål til GDPR og brug for hjælp til at sikre, at du overholder reglerne, eller til at foretage en vurdering af de risici, som netop din virksomheds behandling af personoplysninger indebærer, er du velkommen til at kontakte vores specialister i GDPR og databeskyttelse associeret partner, IT-advokat Torsten Hylleberg eller advokat Anders Linde Reislev.