Hvordan laver du en risikovurdering inden for GDPR?

Frans Skovholm om risikovurdering inden for GDPR

Det er hos mange virksomheder forbundet med en stor usikkerhed, når spørgsmålet falder på, hvordan de laver en tilstrækkelig risikovurdering inden for GDPR. Afhængig af ambitionsniveauet behøver det dog ikke være en uoverstigelig opgave. En risikovurdering kan gå fra at være meget simpel (rød, gul, grøn) til at være meget kompleks med en række fagtekniske mellemregninger.

I denne artikel præsenterer Frans Skovholm, der er advokat i DAHL Advokatpartnerselskab en række grundlæggende parametre, som man bør have øje for i sin risikovurdering. Frans er også oplægsholder på konferencen Risici i den finansielle sektor den 8. og 9. november, hvor han vil gå i dybden med risikovurderinger inden for GDPR.

Hvorfor skal vi udfærdige en risikovurdering?

En risikovurdering bestemmer niveauet af sikkerhed, der er nødvendig for behandlingen af persondata. Databeskyttelsesforordningen (GDPR) siger ikke noget om, hvor detaljeret risikovurderingen skal være. Du skal selv fastlægge et passende niveau henset de risici, som er relevante for din virksomheds behandling af personoplysninger.

Hvad er en risikovurdering?

En risikovurdering er fundamentet for risikostyringsprocessen. Det er her, at risici:

Identificeres og beskrives (risikoidentifikation)
Analyseres og behandles (risikoanalyse)
Evalueres og accepteres (risikoevaluering)

Hvordan identificerer jeg risikoen?

Identifikationen af relevante trusler er afgørende for, at du ikke overser risici. Derfor bør trusselsvurderingen ske på en systematisk måde. Ved at tage udgangspunkt i f.eks. et katalog over mulige trusler, kan du pejle dig ind på de trusler, der er relevante for de enkelte systemer eller behandlinger af personoplysninger. Man kan her inddrage konkrete trusler såsom malware, datalækager, identitetstyveri mv.

Risikoidentifikationen foregår ved, at risikoen skal identificeres for den registrerede. Identifikationen af risici bør være så omfattende som muligt. Det er bedre at inkludere for meget end at afgrænse sig fra potentielle risici. Desuden bør alle risici inkluderes, uanset om du har indflydelse på dem eller ej.

Når risici skal identificeres, skal du tage udgangspunkt i, hvilke risici der er for de personer, du behandler personoplysninger om. Risici kan også identificeres ved at kigge på de forskellige kategorier af personoplysninger, der skal behandles.

Hvordan analyserer jeg risikoen?

Når risikoen for de registrerede er blevet identificeret, skal den analyseres. Analysen kan foregå ved at vurdere risici i en matrix med sandsynlighed og konsekvens som vurderingsparametre, hvor begge eksempelvis vægtes efter ”Lav”, ”Mellem” og ”Høj” risiko.

Sandsynlighed går ud på at vurdere, hvor sandsynligt det er, at en risiko indtræffer.

Konsekvens går ud på at vurdere, hvad konsekvensen er for den registrerede, hvis en risiko indtræffer. Konsekvensen kan enten vurderes ud fra en helhedsvurdering (”Hvor slemt er det, hvis X forekommer?”) eller ud fra detaljerede parametre (”Hvor slemt er det i forhold til eksempelvis frihedsrettigheder, økonomi, image for henholdsvis den enkelte person, hvis X forekommer?”).

Når sandsynlighed og konsekvens er fundet for de identificerede risici, kan du ”udregne” en risikofaktor.

Hvad gør jeg, når jeg har analyseret risikoen?

Det sidste skridt i risikovurderingen er evalueringen af den kortlagte risiko. Det vil her være en god ide at foretage en prioritering af de kortlagte risici, f.eks. ved indplacering i en skala eller risikobillede.

Alle behandlinger af personoplysninger, hvor der er en høj risiko, bør du altid forsøge at reducere gennem implementering af yderligere sikkerhedsforanstaltninger. Hvis risikoen ikke kan mitigeres gennem yderligere tiltag, bør I stoppe denne aktivitet.

Når disse tiltag er aftalt, skal de føres ud i livet, hvorefter der går et moniteringsarbejde i gang med henblik på at evaluere om tiltagene har været med til at mindske risikofaktoren. Resultatet af monitoreringsarbejdet fører herefter til en vurdering af, hvorvidt en given risiko kan accepteres, eller om der skal implementeres yderligere forebyggende- og afbødende tiltag.

Hvordan stiller jeg krav til eksterne leverandører?

Anvendes ekstern leverandør (en databehandler) til drift af systemer og personoplysninger, er det vigtigt, at databehandleren informeres om resultatet af jeres risikovurdering af databehandlerens behandlinger.

Informationen kan bestå i følgende oplysninger:

Samlet oversigt over risikobilledet for systemer driftet hos databehandleren,
Krav til tilgængelighed for de enkelte systemer, herunder til oppetider og maksimal acceptabel nedetid,
Krav til fortrolighed – vurdering af korrekt beskyttelse af personoplysninger både i forhold til fortrolighed generelt og i forhold til karakteren af personoplysninger, som f.eks. adgangsstyring og kryptering,
Krav i forbindelse med tab af personoplysninger,
Krav til særlige sikkerhedsforanstaltninger som f.eks. fysisk sikkerhed, adgangsstyring, driftsprocedurer, udvikling og vedligeholdelse, logning, backup, restore og rapportering.

Virksomheden skal herefter føre tilsyn med databehandlerens overholdelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

Vil du gerne blive klogere på risikovurderinger inden for GDPR?

På konferencen Risici i den finansielle sektor den 8. og 9. november kan du blive klogere på risikovurderinger, når Frans Skovholm, der er advokat i DAHL Advokatpartnerselskab præsenterer, hvordan man kan udarbejde risikovurderinger inden for GDPR. Læs mere om konferencen her og tilmeld dig her.

- Alle sektorer
- Insight Finance
30. juni 2022
0 Comment

Cookie	Varighed	Beskrivelse
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varighed	Beskrivelse
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
iutk	5 months 27 days	This cookie is used by Issuu analytic system to gather information regarding visitor activity on Issuu products.