KRAV TIL IT-SIKKERHED
Forordningen stiller forskellige krav til it-sikkerheden, alt efter hvor følsomme personoplysninger, din organisation behandler. Når der behandles følsomme personoplysninger, skal it-sikkerheden generelt være højere, end hvis der behandles almindelige personoplysninger. Almindelige personoplysninger dækker dog over en bred kategori af oplysninger, fra banale til mere følsomme. Jo mere følsom en oplysning er, jo bedre skal sikkerheden være. Dette gælder særligt for CPR-numre, der kan let kan misbruges og ”låse op” for andre oplysninger om personen, selvom CPR-nummeret i sig selv kun er en almindelig personoplysning.
Forordningen stiller ikke specifikke krav til it-sikkerheden, men kun generelle, da specifikke krav hurtigt ville blive forældede i takt med den teknologiske udvikling.
KRAV OM RISIKOVURDERING
Forordningen stiller krav om, at man foretager en generel risikovurdering af sin virksomhed.
Dette gælder alle typer af behandlinger, både af almindelige og følsomme personoplysninger. Forordningen tillader, at man tager hensyn til implementeringsomkostningerne, hvilket kan betyde, at mindre virksomheder ikke behøver at fastlægge alle tænkelige behandlinger. Jo flere resurser, din virksomhed har, jo større grund er der til at udarbejde flere og mere detaljerede risikovurderinger. Man kan dele vurderingen op i mindre ”bidder”, der siger noget om behandlingens formål, karakter, sammenhæng og omfang:
- Hvilken type oplysning (almindelig eller følsom, og en nærmere definition af oplysningen)
- Mængden af oplysninger (jo større mængder oplysninger, jo større risiko for misbrug)
- Antallet af registrerede (jo flere registrerede, jo større risiko for misbrug)
- Konsekvensen for den registrerede ved misbrug (fx er der store konsekvenser ved læk af CPR-nummer)
- Formålet med behandlingen
- Sammenhængen (er personoplysningerne i et register over kunder, risikerer den registrerede ikke kun, at der sker læk af de registrerede oplysninger, men også læk af den oplysning, at vedkommende er kunde det pågældende sted)
- Sandsynligheden for misbrug
- Mulige tiltag til at minimere risikoen (fx kryptering, pseudonymisering eller adgangskontrol)
Forhold, der kan forhøje risikoen er især brug af ny teknologi, videregivelse af følsomme oplysninger, behandling af følsomme oplysninger i et stort omfang og systematisk overvågning.
KONSEKVENSANALYSE
Hvis den generelle risikovurdering viser en høj risiko ved en bestemt type behandling, skal man foretage en konsekvensanalyse, også kaldet ”data protection impact assessment”. Det vil sjældent være relevant at foretage en konsekvensanalyse, men det er altså et ufravigeligt krav i de få situationer, hvor det er påkrævet.
Konsekvensanalysen er en udvidelse af den generelle risikovurdering, hvor man vurderer de mest risikable behandlinger mere dybdegående. Udover momenterne fra den generelle risikovurdering, skal konsekvensanalysen også indeholde:
- Hvilke (legitime) interesser, der forfølges med behandlingen, hvis behandlingsgrundlaget er en interesseafvejning.
- Er behandlingen nødvendig, og står den i rimeligt forhold formålet?
Hvis konsekvensanalysen viser, at der er en høj risiko med behandlingen, skal man høre Datatilsynet. I forbindelse med høringen, kan Datatilsynet bede om at visse forhold skal ændres eller helt forbyde behandlingen.
HVAD SKAL MAN GØRE, HVIS DER SKER ET SIKKERHEDSBRUD?
Når der konstateres et sikkerhedsbrud, er der visse pligter, man skal iagttage. Det er vigtigt, at din virksomhed har en plan i tilfælde af sikkerhedsbrud, så der kan handles hurtigst muligt. Ved et sikkerhedsbrud, skal din virksomhed stoppe eller formindske sikkerhedsbruddet og i visse tilfælde underrette den registrerede og Datatilsynet.
STOPPE SIKKERHEDSBRUDET OG MINDSKE SKADERNE
Når der konstateres et sikkerhedsbrud, skal man naturligvis stoppe det. Desuden skal man forsøge at formindske skaderne mest muligt. Dette kan kræve hjælp fra en it-sagkyndig.
UNDERRETTE DE REGISTREREDE OG/ELLER DATATILSYNET
Når der konstateres et sikkerhedsbrud, skal man underrette Datatilsynet inden for 72 timer, medmindre det er usandsynligt, at det vil have nogen risiko for den registrerede.
Er der en høj risiko for misbrug, skal man også underrette den registrerede. Dette behøver man dog ikke alligevel, hvis man har foretaget fornødne sikkerhedsforanstaltninger, fx krypteret oplysningerne. Man behøver ligeledes ikke at underrette de registrerede, hvis det kræver en uforholdsmæssig indsats, fx hvis der er mange registrerede. Her skal man dog i stedet udstede en offentlig meddelelse.
Underretningen skal mindst indeholde:
- Karakteren af bruddet (kategorierne og antallet af registrerede og oplysninger; fx ulovlig videregivelse af følsomme oplysninger om ca. 40 ansattes fagforeningsmæssige tilhørsforhold). Dette punkt udelades delvist ved underretning af registrerede, da de ikke har krav på at vide det fulde omfang af bruddet
- Navn og kontaktoplysninger på DPO (hvis man har en)
- De sandsynlige konsekvenser af sikkerhedsbruddet
- Beskrive de foretagne sikkerhedsforanstaltninger
PÅ HVILKE MÅDER KAN MAN IMPLEMENTERE IT-SIKKERHED I EN ORGANISATION?
For at implementere den fornødne it-sikkerhed skal man implementere fysiske, tekniske og organisatoriske foranstaltninger. Ligesom ved foretagelsen af risikovurdering, kan man tage hensyn til virksomhedens størrelse. Generelt behøver mindre virksomheder ikke at foretage lige så omfattende sikkerhedsforanstaltninger som store virksomheder. Sikkerheden skal dog stadig være ”tilstrækkelig”. Man skal gøre sig særligt umage, når man har at gøre med følsomme oplysninger eller andre fortrolige oplysninger som CPR-numre.
FYSISKE FORANSTALTNINGER
Lokaler med computere og servere kan være aflåst, når der ikke er nogen derinde til at holde lokalet under opsyn. Det er også en god ide at have en alarm. Har man fortrolige oplysninger i papirform, kan man låse dem inde i et arkivskab.
ORGANISATORISKE FORANSTALTNINGER
Den vigtigste organisatoriske foranstaltning må være at træne personalet i forordningens regler, i det omfang det er nødvendigt for dem i deres hverdag.
Dernæst vil det være ønskeligt, hvis organisationen tilegner sig et internt regelsæt, der nærmere skal fastsætte rammerne for sikkerheden. De ansatte skal instrueres i dette regelsæt. Regelsættet kan eksempelvis indeholde regler om:
- Hvem der på arbejdspladsen må få adgang til hvilke personoplysninger (således at ansatte, der ikke har brug for oplysningerne, ikke snager)
- Logning af, hvem der har haft adgang til hvilke oplysninger
- Etablering af et tilsyn (fx ved at have en DPO).