GDPR: Hvordan laver man en risikovurdering?

By 
Henning Mortensen
November 20, 2020

Med persondataforordningen er der introduceret et krav om, at den dataansvarlige skal lave en risikovurdering og på den baggrund vælge hvilke sikkerhedsforanstaltninger, som skal implementeres. I denne artikel vil vi se på persondataforordningens krav til risikovurdering og give praktiske råd til, hvordan man laver sådan en.

Baggrund for risikovurderingen

Mange steder i forordningen er der krav om, at den dataansvarlige laver en risikovurdering. Det gælder f.eks. i forhold til alle de pligter, som påhviler den dataansvarlige, når man skal vælge sikkerhedsforanstaltninger og fastlægger designet af sine systemer, i vurderingen af, om man skal lave en fortegnelse over behandlingsaktiviteter, når man skal vurdere, om man skal underrette de registrerede om et sikkerhedsbrud, og når man skal vurdere, om man skal lave en konsekvensanalyse.

Tidligere var der ved bekendtgørelse fastsat, hvilke sikkerhedsforanstaltninger den dataansvarlige burde implementere (og skulle implementere, hvis der var tale om en offentlig myndighed). Sikkerhedsbekendtgørelsen kunne nærmest betragtes som en to-do-liste for sikkerhedstiltag. I dag er denne liste erstattet af risikovurderingen. Det har den fordel, at man ikke bare dogmatisk skal iværksætte sikkerhedsforanstaltninger. Ulempen er så, at den dataansvarlige skal tænke selv og tage ansvar for, hvilke foranstaltninger, de faktisk iværksætter.

Risikovurdering for hvem?

De fleste organisationer har allerede lavet risikovurderinger for at kunne håndtere deres sikkerhedsforanstaltninger. Genstanden for disse risikovurderinger har imidlertid været organisationerne selv – altså hvad sker der med organisationens bundlinje eller gode ry og rygte, hvis den bliver hacket; taber organisationen sine intellektuelle rettigheder? Det er absolut nødvendigt at have lavet sådanne risikovurderinger – men det er ikke sådanne vurderinger persondataforordningen lægger op til, at der skal laves.

Genstanden for persondataforordningens risikovurderinger er de registreredes rettigheder og frihedsrettigheder. Der skal altså laves en vurdering af, hvilke risici organisationen som dataansvarlig udsætter kunder, medarbejdere og andre samarbejdspartnere i form af fysiske personer for.

Organisationen kan dermed ikke genbruge risikovurderingen, hvor genstanden for vurdering af risici er organisationen selv. Organisationen skal lave en ny risikovurdering set fra de registreredes perspektiv! Organisationen kan til gengæld genbruge den metodik, der er udviklet for at lave risikovurderinger.

Risikovurderingsmetodik

Forordningen siger ikke noget om, hvor detaljeret risikovurderingen skal være. Man kan vælge at lave en overordnet vurdering for hele organisationen. Man kan også gå i dybden og lave risikovurdering for hvert eneste system. Desuden kan man for hvert system grave dybere endnu og kortlægge risiko og konsekvens i forhold til fortrolighed, tilgængelighed og integritet. Man kan med andre ord virkelig granulere sine aktiviteter og bruge meget tid på dette område. Det er op til organisationen at fastlægge, hvor detaljeret man ønsker at gå til værks.

Når man laver en risikovurdering går man typisk frem trin for trin efter nedenstående metodik:

  • Konsekvensvurdering
  • Identificer aktiverne (typisk de it-systemer, det udstyr og de kommunikationskanaler, hvori der behandler personoplysninger)
  • For hvert aktiv kan man fastlægge konsekvensen (høj, medium, lav) ved tab af fortrolighed, tilgængelighed og integritet. Vil man ikke grave helt så dybt, kan man tage grupper af aktiver sammen. Man kan også lave én samlet konsekvens i stedet for at opdele på tilgængelighed, fortrolighed og integritet.
  • Trusselsvurdering
  • Identificer de trusler informationsaktiverne står overfor og vurder, hvad sandsynligheden (høj, medium, lav) er, for at truslen bliver realiseret.
  • Hvis man ikke kender noget til trusler, f.eks. hacking, virus, phishing og ransomware, kan man lade sig inspirere af ENISAs trusselskatalog, af OCTAVEs trusselsterminologi, af Soloves trusselstaxonomi, af Center for Cybersikkerheds trusselsvurderinger eller se på sandsynligheder fra nogle af de store antivirusproducenters årsrapporter.
  • Sårbarhedsvurdering
  • Der er givet vis allerede iværksat sikkerhedsforanstaltninger, som også har en mitigerende effekt i forhold til trusler mod personoplysninger. Disse sikkerhedsforanstaltninger skal kortlægges, og det skal vurderes om de nedbringer sandsynlighed eller konsekvens ovenfor.
  • Risikobilledet
  • På baggrund af ovenstående kan man nu beskrive risikobilledet: (konsekvensen x sandsynligheden) – eksisterende foranstaltninger = risikoen. Ledelsen skal så tage stillingen til, om risikoen er acceptabel, eller om der skal iværksættes ekstra foranstaltninger, som kan nedbringe risikoen. Ledelsen skal kunne acceptere den restrisiko, som altid vil være tilbage.

Man kan sammenfatte ovenstående i nedenstående figur, hvor man især skal være opmærksom på, om nogle af informationsaktiverne eller personoplysninger er placeret i den røde del af figuren.

Risikovurdering visuelt

Risikovurdering er ikke en eksakt videnskabelig disciplin

Risikovurdering kan se meget vanskeligt ud. Det er vigtigt at acceptere, at risikovurdering ikke er en absolut disciplin. Der vil altid være meget skøn over risikovurderinger, hvor man kan tale en trussels konsekvens og sandsynlighed op og ned. Man kan således uden problemer bruge hele bundlinjen på sikkerhed. Det er vigtigt, at man finder en rimelig balance, så man får investeret optimalt i sikkerhed. Kan man først demonstrere, at man har lavet en risikovurdering, skal der meget til førend myndighederne vil tilsidesætte organisationens egen vurdering af sine egne risici.

Erhvervsstyrelsen og Rådet for Digital Sikkerhed har lavet et godt risikovurderingsframework, som det kan anbefales at bruge, og som kan findes under links til denne artikel.

Links

Risikovurderingsskabelon fra Erhvervsstyrelsen og Rådet for Digital Sikkerhed.

ISO27005, Standard til at gennemføre risikovurderinger.

Soloves trusselstaxonomi.

OCTAVE (se især tabel 7, side 50).