Undgå brud på persondatasikkerheden

En risikovurdering er et vigtigt redskab til at forebygge brud på persondatasikkerheden. Læs her, hvilke risici I bør have fokus på som udbyder af en elektronisk kommunikationstjeneste.

Risikostyring på persondatasikkerhedsområdet handler om at identificere og vurdere risici for brud på persondatasikkerheden med henblik på at forebygge brud. 

Vær særligt opmærksom på at vurdere risici i forbindelse med systemændringer, praksisændringer, migrering af data eller forud for lancering af et nyt system, da sådanne ændringer kan medføre nye fejlkilder. 

To overordnede spørgsmål, I bør overveje, når I foretager en risikovurdering af en proces, hvor der behandles personoplysninger: 

  1. Hvad er sandsynligheden for, at der i behandlingsprocessen sker et brud på persondatasikkerheden? I jeres vurdering af sandsynligheden bør I lægge særligt vægt på tidligere brud. 
  2. Hvad ville konsekvensen af et brud på persondatasikkerheden være? Det kan fx være, at et stort antal brugere vil blive påvirket af et potentielt brud, eller at følsomme personoplysninger kan blive eksponeret for en uautoriseret tredjemand. 

Nyt it-system eller overførsel af data

Hvis jeres virksomhed skal have et nyt it-system, eller hvis data skal migreres mellem to systemer, er det vigtigt at være opmærksom på, at det kan skabe nye fejlkilder og risici for potentielle brud på persondatasikkerheden. 

Under en datamigration er der fx risiko for, at uautoriserede medarbejdere får adgang til persondata, de ikke burde have adgang til. 

Ved indkøb af nye it-systemer er det derfor vigtigt at få overblik over, hvilke personoplysninger der ligger på både det gamle og det nye it-system, hvordan det gamle system bliver afviklet og hvordan man håndterer rettighedsstyring på det nye it-system. 

Er sikkerheden tilstrækkelig høj? 

Udbydere af elektroniske kommunikationstjenester skal løbende sikre passende tekniske og organisatoriske foranstaltninger med henblik på at undgå brud på persondatasikkerheden. Det betyder, at foranstaltningerne skal opretholde et sikkerhedsniveau, der står i forhold til de identificerede risici under hensyntagen til de teknologiske muligheder og omkostningerne i forbindelse med gennemførelse af foranstaltningerne. 

Hvis en fejl har medført brud på persondatasikkerheden i din virksomhed, er det en god anledning til at overveje, hvorvidt eksisterende foranstaltninger er passende, eller om de bør justeres. 

Tre spørgsmål, du bør overveje afhængig af fejltypen: 

  1. Ved manuelle fejl, fx en fejlindtastning: Er den eksisterende træning af medarbejdere tilstrækkelig, og er procedurer implementeret hensigtsmæssigt og manualer anvendelige, eller bør der foretages ændringer heri? 
  2. Ved systemfejl, fx fejl i kodningen af et it-system: Bør implementeringen af nyt software ses efter i sømmene, og skal der foretages flere test, inden systemændringer sættes i drift? 
  3. Ved hacking eller en it-sikkerhedshændelse: Hvordan kan I bedre sikre jeres systemer, der anvendes i behandlingen af persondata?