Virksomhederne skal lave en risikovurdering – skal den se ud på en bestemt måde?

Det korte svar er: Nej – men som dataansvarlig skal du kunne bevise, at risikovurderingen er foretaget

I databeskyttelsesforordningen er der ikke særlige krav til form eller metode i forbindelse med gennemførelse af de risikovurderinger, som den dataansvarlige skal foretage med henblik på at etablere et passende sikkerhedsniveau.

Accountability

Der eksisterer dog et generelt princip om ansvarlighed (”accountability”), der bl.a. følger af databeskyttelsesforordningens artikel 5, stk. 2, og artikel 24. Det følger heraf, at den dataansvarlige er ansvarlig for og skal kunne påvise, at bl.a. princippet om integritet og fortrolighed i artikel 5, stk. 1, litra f, overholdes. Bestemmelserne fastsætter dog ikke specifikke krav til, hvordan den dataansvarlige konkret påviser dette i praksis.

Efter Datatilsynets opfattelse skal de nævnte bestemmelser forstås således, at bevisbyrden for overholdelse af bl.a. princippet i artikel 5, stk. 1, litra f, påhviler den dataansvarlige (”påvise”), og tilsynet anbefaler af den årsag, at den dataansvarlige udfærdiger og opbevarer skriftlig dokumentation for de vurderinger, som den pågældende dataansvarlige har foretaget efter databeskyttelsesforordningen.

Overordnet består selve risikovurderingen af flere dele:

• En kortlægning af alle de risici behandlingen medfører og en kategorisering (scoring, sandsynlighed og alvorlighed) heraf – og
• En vurdering af hvad der er passende tekniske og organisatoriske foranstaltninger til at sørge for at forordningen overholdes, og dette kan dokumenteres.

Vurderingen benyttes i forhold til:

• Den dataansvarliges ansvar,
• Omfanget af databeskyttelse gennem design (se nedenfor) og
• Behandlingssikkerhed

Eksempel: En risiko for en rettighed kunne f.eks. være identitetstyveri, tab af ære og velfærd, men rettighederne dækker meget bredt. En forholdsregel kunne f.eks. være kryptering af kommunikation, kontroller der sikrer at e-mails kun afsendes til den tilsigtede modtager eller lignende.                             

Effektiv implementering af databeskyttelsesprincipper

Databeskyttelse gennem design indebærer ifølge forordningen, at den dataansvarlige allerede fra tidspunktet, hvor midlerne for behandlingen fastlægges (f.eks. et nyt IT-system), skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på at sikre en effektiv implementering af de grundlæggende databeskyttelsesprincipper.

Kort sagt skal den dataansvarlige på forhånd have designet og indrettet sin it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at forordningens krav og beskyttelseshensyn varetages som en integreret del i hele behandlingsforløbet.

Eksempler på foranstaltninger, der kan indbygges og udgøre databeskyttelse gennem design kan være: Minimering af persondatabehandlingen, pseudonymisering, kryptering af data i transit eller hvile, sikring af infrastrukturen mod uautoriseret indtrængen.

Der findes systemer på markedet, der kan hjælpe jer gennem processen.

Denne artikel er skrevet af advokat Wivi H. Larsen, der gerne bistår med udarbejdelse af risikovurderingerne.