GDPR: Hvad er passende sikkerhedsforanstaltninger egentlig?

By 
Henning Mortensen
December 9, 2019

På baggrund af en risikovurdering set fra de registreredes side, skal de dataansvarlige i henhold til persondataforordningen iværksætte passende tekniske og organisatoriske sikkerhedsforanstaltninger. I denne artikel vil vi berøre, hvad passende sikkerhedsforanstaltninger egentlig er.

Baggrund

Persondataforordningen er ikke særlig præcis, når det kommer til at uddybe, hvad der skal forstås ved passende tekniske sikkerhedsforanstaltninger. I Forordningens artikel 32 gives kun to eksempler, nemlig pseudonymisering og kryptering af data, og den tilknyttede præambelbetragtning 83, nævner kun kryptering som eksempel. Tilsvarende i forhold til organisatoriske foranstaltninger skrives der, at der skal eksistere en procedure for afprøvning af de tekniske og organisatoriske foranstaltninger, og denne procedure må i sig selv være at betragte som en organisatorisk foranstaltning. Det er derfor i høj grad op til den dataansvarlige at vurdere, hvilke tiltag der skal iværksættes.

Ud over at lægge vægt på risikoen for de registrerede, skal den dataansvarlige også lægge vægt på ”det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål”. I praksis skal dette forstås sådan, at en omfattende behandling eller en behandling af følsomme oplysninger er skærpende omstændigheder, som kalder på bedre sikkerhed i form af flere foranstaltninger.

I praksis skal man være meget tilbageholdende med at tillægge for stor vægt til de økonomiske hensyn. Man står således dårligt, hvis man skal forsvare et manglende sikkerhedstiltag med, at det var (for) dyrt at iværksætte – logikken er, at man så måske skulle have undladt overhovedet at påbegynde behandlingen af personoplysninger til at starte med.

Det er ingen quick-fixes – men der er et par værktøjer

Der er ingen genveje i form af lister over foranstaltninger, som man bare kan implementere. Man er nødt til at lave en konkret risikovurdering set fra de registreredes perspektiv og så se på hvilke sikkerhedsforanstaltninger, det er nødvendigt at implementere, for at bringe de registreredes risiko ved den dataansvarliges konkrete behandlinger ned på et acceptabelt niveau. Hvis nogen kommer og påstår, at de har et quick-fix i form af en udtømmende liste over tiltag, som passer enhver, er der virkelig grund til at være skeptisk!

Når man skal i gang med at se på sin organisations sikkerhed – og herunder organisationens sikkerhedsforanstaltninger, når de behandles personoplysninger – er det et godt udgangspunkt at tage testen på sikkerhedstjekket.dk. Sikkerhedstjekket er lavet af Erhvervsstyrelsen og Rådet for Digital Sikkerhed. Sikkerhedstjekket hjælper med, at en organisation kan blive klogere på sin egen risikoprofil, ved at der besvares 17 spørgsmål og gives et output i form af anbefalelsesværdige foranstaltninger. Det er altså ikke de registreredes risici, der er i fokus, men mange af de foreslåede foranstaltninger, som anbefales, vil også have en gavnlig effekt i forhold til at reducere de registreredes risici. På sikkerhedstjekket.dk findes også sikkerhedstrappen, som giver en beskrivelse af hvilke sikkerhedsforanstaltninger, der kan iværksættes. Disse foranstaltninger søges rangordnet i fire niveauer afhængigt af, hvor avanceret en tilgang organisationen skal have.

Videre findes der som inspiration et par lister over mulige foranstaltninger, som man kan søge inspiration i. Disse lister er ikke udtømmende – og det er ikke forfatternes mening, at man skal implementere alle tiltag! De skal kun læses som en beskrivelse af de muligheder man har for at iværksætte foranstaltninger:

  • Den mest fuldstændige liste: ”Sikkerhedsforanstaltninger – i henhold til databeskyttelsesforordningen” findes i Revision og Regnskabsvæsen nr. 5, 2018, af Henning Mortensen (forfatteren til dette blokindlæg)
  • Datatilsynet har lavet vejledningen: ”Behandlingssikkerhed Databeskyttelse gennem design og standardindstillinger”

Man skal huske at tage udgangspunkt i risikovurderingen, inden man iværksætter foranstaltninger: Ligesom man kan implementere for få foranstaltninger, så de registreredes risiko ikke er dækket af, kan man også implementere for mange, således at de ikke er proportionale. En række foranstaltninger kan f.eks. være indgribende overfor personalet i form af at logge/overvåge deres adfærd tæt. Det vil kun være proportionalt, hvis der er en tilpas stor risiko for de registrerede.

Konkrete foranstaltninger

Som nævnt er det ikke særlig konkret, hvad begrebet tekniske og organisatoriske foranstaltninger dækker over. I disse to artikler har vi forsøgt at konkretisere begrebernes indhold:

Organisatoriske foranstaltninger
https://wiredrelations.com/organisatoriske-sikkerhedsforanstaltninger/ 

Tekniske foranstaltninger
https://wiredrelations.com/tekniske-sikkerhedsforanstaltninger/ 


Links

Sikkerhedstjekket:
https://www.sikkerhedstjekket.dk

Henning Mortensens artikel om sikkerhedsforanstaltninger:
https://www.karnovgroup.dk/artikler/rr-05-2018-sikkerhedsforanstaltninger

Datatilsynets vejledning om sikkerhed:
https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf

Flere blogs indenfor området

Se alle blogs

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer

Tærskel- og konsekvensanalyse: Indledende screening vs dybdegående vurdering