Hvordan passer man godt på persondata?
Det er helt centralt for EU's databeskyttelsesforordning, at den sigter mod at forhindre negative konsekvenser for individer som følge af, at deres oplysninger bliver behandlet af virksomheder og myndigheder. Derfor skal dataansvarlige og databehandlere sørge for et passende sikkerhedsniveau. Som noget nyt har forordningen introduceret en mere risikobaseret tilgang til beskyttelse af personoplysninger. Det betyder, at det i højere grad er op til virksomhederne, hvilke metoder og værktøjer, de anvender for at sikre personoplysningerne.
Praktisk hjælpe-guide
For at hjælpe virksomhederne har Datatilsynet som en del af vejledningen lavet en ”praktisk hjælpe-guide”, som er delt op i 4 trin. Her er en kort introduktion.
Hele guiden kan læses på side 18 her
Trin 1: Identifikation og vurdering af risici
Først skal du kortlægge, hvilke personoplysninger, virksomheden behandler. I har måske allerede lavet en eller flere fortegnelser over behandlingsaktiviteter, så start der eller kig evt. her. Overblikket over personoplysningerne bruges til at vurdere de risici, som behandlingen medfører, og der er nogle gode eksempler på risici i hjælpe-guiden.
Trin 2: Identifikation af mulige sikringsforanstaltninger
Dette trin handler om at få et overblik over, hvordan risici kan imødegås, så I opnår et passende sikkerhedsniveau.
Trin 3: Gennemgang af, hvilke kortlagte sikringsforanstaltninger, der imødegår relevante risici, så et passende sikkerhedsniveau opnås
På dette trin trækker I trådene mellem sikringsforanstaltninger og risici. En type foranstaltning kan håndtere flere risici.
Trin 4: Implementering af de sikringsforanstaltninger, som det besluttes at gennemføre
Når I har dette overblik, kan I beslutte, hvilke sikringsforanstaltninger, der skal implementeres. Og så er det bare med at komme i gang!
Eksempler på sikringsforanstaltninger er:
- Pseudonymisering og kryptering
- Sikring af vedvarende fortrolighed, integritet, tilgængelighed og robusthed, f.eks. ved at bruge elektronisk signatur, individuelle fortrolige adgangskoder, backup og sikre fysiske rammer
- Rettidig genopretning af tilgængeligheden af og adgangen til personoplysninger, f.eks. ved at have en velafprøvet procedure for genopretning af data efter eksempelvis hacking eller krypto-ransomware
- Procedureregler, som f.eks. indebærer regelmæssig test af firewalls, krypterede krypterede forbindelser o.l.
- Organisatoriske sikringsforanstaltninger, f.eks. ved hjælp af logning, frivillig udpegelse af databeskyttelsesrådgiver, instruktioner og retningslinjer.
Databeskyttelse gennem design og gennem standardindstillinger
Reglerne om databeskyttelse gennem design og gennem standardindstillinger er nye i forordningen. Hensigten er, at databeskyttelse tænkes ind allerede i designfasen af it-systemet (design), og når man udvælger og ibrugtager et nyt system samt anvender eksisterende systemer (standardindstillinger).
Beskyttelse gennem standardindstillinger
Langt de fleste danske virksomheder bruger systemer, som er udviklet af andre, i deres rolle som dataansvarlig. I den situation er det vigtigt at overveje, om systemernes standardindstillinger samt relaterede organisatoriske procedurer, understøtter databeskyttelsen. Og hvis ikke, sørge for de nødvendige tilpasninger af indstillingerne. Eksempler på databeskyttelse gennem standardindstillinger:
- Dynamisk rettighedsdeling
- Slettet og sendt post slettes automatisk fra e-mail konto efter 30 dage
- Ingen udgangspunktsindstillinger til ekstraydelser
- Brug af op-in (aktivt tilvalg).
Beskyttelse gennem design
For den samme type virksomhed (bruger andres systemer, dataansvarlig), betyder princippet om beskyttelse gennem design, at man ved det overordnede design af tekniske platforme og forretningsgange skal sikre, at forordningens regler bliver overholdt. Det vil sige, at man tidligt i forløbet sikrer sig, at:
- Databeskyttelsesprincipperne overholdes, dvs. lovlighed, rimelighed, gennemsigtighed, formålsbegrænsning, da-taminimering, korrekte og ajourførte data, begrænsede opbevaringsperioder, sikringsforanstaltninger til at sikre datasikkerhed
- De registreredes rettigheder overholdes, herunder ret til indsigt og ret til at blive glemt
- At sikkerhedsniveauet er passende, jf. ovenstående.
Der er altså ikke tale om nye principper eller regler. Beskyttelse gennem design kan nærmere ses som en hjælpende eller ligefrem opdragende hånd, så virksomhederne bliver bevidste om, hvad det kræver at håndtere personoplysninger forsvarligt. At det det ikke er nogle processer, der kan klistres på til sidst, men at det skal gennemsyre hele virksomheden.
Datatilsynet skriver i vejledningen, at princippet om beskyttelse gennem design kan forekomme en anelse abstrakt, også hvis man har en vis viden om databeskyttelse. Tilsynet konkluderer, at det kræver ”en bred kompetencemæssig forankring i den enkelte dataansvarliges organisation” (p. 28), dvs. en kombination af forståelse af forordningen og indgående kendskab til virksomhedens aktiviteter.
Podcast for SMV'er om GDPR-regler
Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.