Bedre behandlingssikkerhed

For at etablere en tilstrækkelig sikkerhed og forhindre at der sker behandling i strid med databeskyttelsesforordningen, skal du som dataansvarlig eller databehandler have styr på behandlingssikkerheden. Men hvad betyder det, når Datatilsynet siger, at du skal have et passende sikkerhedsniveau for at forhindre, at du behandler oplysninger i strid med persondataforordningen?

Lav en analyse

Når man behandler personoplysninger, skal man med den nye GDPR-lovgivning først og fremmest analysere og beskrive, om der er risiko for:

  • Hændelig eller ulovlig tilintetgørelse, tab, ændring af persondata eller
  • Uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, og som kan føre til fysisk, materiel eller immateriel skade

Derudover skal man kunne beskrive, om der er tale om almindelige personoplysninger (mindst sensitive) eller følsomme personoplysninger (mest sensitive) samt hvordan de pågældende personer påvirkes af et evt. brud på sikkerheden.

Datatilsynet foreslår selv at man bruger nedenstående to skabeloner til dette. Men det står virksomhederne frit for at vælge deres egen model.

Teksten i nedenstående er Datatilsynets eget eksempel, hvor de for øvrigt ender med at konkludere, at påvirkningsgraden af den beskrevne case er middel.

Beskrivelse af behandlingere-Handel: Bestilling, betaling og levering af varer
Hvilke persondata behandles?Kontaktoplysninger på e-handelsplatformen (for- og efternavn, modtageradresse, telefonnummer og e-mail adresse), betalingsdata (kreditkort/bank information)
Behandlingens formål:Bestilling, betaling og transport af varer
Datasubjekter:Kunder
Behandlingssystemer:Ordrestyringssystem (ERP, CRM og Portal)
Modtagere af data:Eksternt: Betalingsservice leverandør, transportservice leverandør
Internt: Kunderalation (CRM) system, Centralt ressourcestyrings (ERP) system
Dataansvarlig og databehandlere: V, Betalingsformidler og transportformidler
PåvirkningsgradBeskrivelse
LavDe fysiske personer kan opleve få uhensigtsmæssigheder, der kan overkommes og imødegås uden større indsats (tid brugt på at genindtaste oplysninger, dårlig brugeroplevelse, irritation o. lign.)
MediumDe fysiske personer kan opleve betydelige uhensigtsmæssigheder, som de kan overkomme med en indsats og overvindelse af nogle få besværligheder (ekstra omkostninger, manglende adgang til forretningsservices, frygt, mangel på forståelse, stress og mindre påvirkning af fysisk karakter o. lign.)
HøjDe fysiske personer kan opleve betydelige konsekvenser, som kun kan overkommes med betydelig indsats og konsekvenser for den enkelte (økonomiske konsekvenser, fejlkontering af midler, sortlistning eller nedgradering af kreditmuligheder, fysisk skade på aktiver, påvirkning af arbejdssituation, stævning, dårligere helbred o. lign.)
Meget højDe fysiske personer kan opleve betydelige og indgribende konsekvenser, som det ikke er muligt eller kun vanskeligt muligt at overkomme (mistet erhvervsevne, langvarige fysiske og psykiske påvirkninger, død o. lign.)

Få et passende sikkerhedsniveau

Det store spørgsmål er altid, hvornår man har et passende sikkerhedsniveau, så man lever op til persondataforordningen og Datatilsynets krav.

Generelt kan man sige, at beskyttelsesbehovet er større, des mere sensitive personoplysninger, der behandles, ligesom risikoen for brud naturligvis spiller ind.

Selvom Datatilsynet siger, at det grundlæggende er dig som virksomhed, der skal vurdere sikkerhedsniveauet, så kommer de dog med et par forslag til, hvad man kan gøre.

I forhold til tekniske foranstaltninger foreslår de bl.a. antivirus, firewall, kryptering, logging, pseudonymisering/anonymisering, sårbarhedsskanning og penetrationstests, multifaktor autentifikation og netværkssegmentering.

På den organisatoriske side foreslår de bl.a. it-sikkerhedspolitikker, ISMS (information security management system), risikovurderinger, træning af medarbejdere og løbende awareness samt Identity & access governance.

Databeskyttelse gennem design

Med EU’s persondataforordning er det også blevet et krav, at virksomhederne skal tænke databeskyttelse ind allerede i designfasen af deres it-løsninger.

Databeskyttelse gennem design har syv bærende principper, som man bør følge:

  1. Proaktiv ikke reaktiv databeskyttelse
    Foranstaltninger skal forebygge risici fremfor blot at afhjælpe dem.
  2. Databeskyttelse som standardindstilling
    Den registrerede bør ikke selv skulle slå databeskyttelsesfremmende indstillinger til; beskyttelsen skal være indbygget fra starten.
  3. Databeskyttelse som en integreret del af design
    Databeskyttelse skal tænkes ind i systemers arkitektur fra starten.
  4. Fuld funktionalitet
    Både fuld funktionalitet og fuld sikkerhed skal sikres. Der bør ikke være et modsætningsforhold mellem databeskyttelse og sikkerhed.
  5. Databeskyttelse i hele livscyklussen 
    Databeskyttelse skal sikres kontinuerligt, over hele domænet og i hele systemets levetid.
  6. Synlighed og gennemsigtighed 
    Teknologier og forretningsmodeller bør være gennemsigtige, og de målsætninger, der er blevet signaleret, bør være verificerbare.
  7. Respekt for brugerens privatliv
    Den registreredes interesser skal sættes i fokus ved at opretholde høje privatlivs-standarder, tilvejebringe passende notifikation og tilbyde brugervenlige indstillinger.

Forordningen kræver ikke, at ældre og allerede eksisterende systemer nødvendigvis skal re-designes.

Kan der etableres et passende databeskyttelsesniveau, og kan den registreredes rettigheder opfyldes med de eksisterende ældre systemer – eventuelt ved hjælp af interne procedurer, undervisning af ansatte eller tilsvarende organisatoriske foranstaltninger, vil dette (i princippet) være tilstrækkeligt.

Hvis et it-system ikke opfylder kravene i andre af forordningens bestemmelser (f.eks. artikel 32 om behandlingssikkerhed eller principperne for behandling af personoplysning i artikel 5), vil det dog kræve, at systemet ændres, eller at yderligere organisatoriske foranstaltninger gennemføres.

Vil du vide mere?

Du kan læse Datatilsynets vejledning ”Behandlingssikkerhed, Databeskyttelse gennem design og standardindstillinger”, hvis du vil vide mere om ovenstående.

Trænger du til at blive klogere på GDPR og persondataforordningen som helhed, har vi skrevet en lang række artikler, som du kan se i nedenstående.