Sikkerhedsforanstaltninger

Sikkerhedsforanstaltninger

På baggrund af en risikovurdering set fra de registreredes side, skal de dataansvarlige i henhold til persondataforordningen iværksætte passende tekniske og organisatoriske sikkerhedsforanstaltninger. I denne artikel vil vi berøre, hvad passende sikkerhedsforanstaltninger egentlig er.

Baggrund

Persondataforordningen er ikke særlig præcis, når det kommer til at uddybe, hvad der skal forstås ved passende tekniske sikkerhedsforanstaltninger. I Forordningens artikel 32 gives kun to eksempler, nemlig pseudonymisering og kryptering og den tilknyttede præambelbetragtning 83, nævner kun kryptering som eksempel. Tilsvarende i forhold til organisatoriske foranstaltninger skrives der, at der skal forefindes en procedure for afprøvning af de tekniske og organisatoriske foranstaltninger og denne procedure må i sig selv være at betragte som en organisatorisk foranstaltning. Det er derfor i høj grad op til den dataansvarlige at vurdere, hvilke tiltag der skal iværksættes.

Ud over at lægge vægt på risikoen for de registrerede skal den dataansvarlige også lægge vægt på ”det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål”. I praksis skal dette forstås således, at en omfattende behandling eller en behandling af følsomme oplysninger er skærpende omstændigheder, som kalder på bedre sikkerhed i form af flere foranstaltninger. I praksis skal man være meget tilbageholdende med at tillægge for stor vægt til de økonomiske hensyn. Man står således dårligt, hvis man skal forsvare et manglende sikkerhedstiltag med, at det var dyrt at iværksætte – logikken er, at man så måske skulle have undladt overhovedet at påbegynde behandlingen af personoplysninger.

Det er ingen quick-fix – men et par tools

Der er ingen genveje i form af lister over foranstaltninger, som man bare kan implementere. Man er nødt til at lave en konkret risikovurdering set fra de registreredes perspektiv og så se på hvilke sikkerhedsforanstaltninger, det er nødvendigt at implementere, for at bringe de registreredes risiko ved den dataansvarliges konkrete behandlinger ned på et acceptabelt niveau. Hvis nogen kommer og påstår, at de har et quick-fix i form af en udtømmende liste over tiltag, som passer enhver, er der virkelig grund til at være skeptisk!

Når man skal i gang med at se på sin organisations sikkerhed – og herunder organisationens sikkerhedsforanstaltninger, når de behandles personoplysninger – er det et godt udgangspunkt at tage testen på sikkerhedstjekket.dk. Sikkerhedstjekket er lavet af Erhvervsstyrelsen og Rådet for Digital Sikkerhed. Sikkerhedstjekket hjælper med, at en organisation kan blive klogere på sin egen risikoprofil, ved at der besvares 17 spørgsmål og gives et output i form af anbefalelsesværdige foranstaltninger. Det er altså ikke de registreredes risici, der er i fokus, men mange af de foreslåede foranstaltninger, som anbefales, vil også have en gavnlig effekt i forhold til at reducere de registreredes risici. På sikkerhedstjekket.dk findes også sikkerhedstrappen, som giver en beskrivelse af hvilke sikkerhedsforanstaltninger, der kan iværksættes. Disse foranstaltninger søges rangordnet i fire niveauer afhængigt af, hvor avanceret en tilgang organisationen skal have.

Videre findes der som inspiration et par lister over mulige foranstaltninger, som man kan søge inspiration i. Disse lister er ikke udtømmende – og det er ikke forfatternes mening, at man skal implementere alle tiltag! De skal kun læses som en beskrivelse af de muligheder man har for at iværksætte foranstaltninger:

  • Den mest fuldstændige liste: ”Sikkerhedsforanstaltninger – i henhold til databeskyttelsesforordningen” findes i Revision og Regnskabsvæsen nr. 5, 2018, af Henning Mortensen (forfatteren til dette blokindlæg)
  • Datatilsynet har lavet vejledningen: ”Behandlingssikkerhed Databeskyttelse gennem design og standardindstillinger”

Man skal huske at tage udgangspunkt i risikovurderingen, inden man iværksætter foranstaltninger: Ligesom man kan implementere for få foranstaltninger, så de registreredes risiko ikke er dækket af, kan man også implementere for mange, således at de ikke er proportionale. En række foranstaltninger kan f.eks. være indgribende overfor personalet i form af at logge/overvåge deres adfærd tæt. Det vil kun være proportionalt, hvis der er en tilpas stor risiko for de registrerede.

Konkrete foranstaltninger

Som nævnt er det ikke særlig konkret, hvad begrebet tekniske og organisatoriske foranstaltninger dækker over. I disse to artikler har vi forsøgt at konkretisere begrebernes indhold:

Organisatoriske foranstaltninger
https://wiredrelations.com/organisatoriske-sikkerhedsforanstaltninger/ 

Tekniske foranstaltninger
https://wiredrelations.com/tekniske-sikkerhedsforanstaltninger/ 

Links

Sikkerhedstjekket:
https://www.sikkerhedstjekket.dk

Henning Mortensens artikel om sikkerhedsforanstaltninger:
https://www.karnovgroup.dk/artikler/rr-05-2018-sikkerhedsforanstaltninger

Datatilsynets vejledning om sikkerhed:
https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin