En risikovurdering er et vigtigt redskab til at forebygge brud på persondatasikkerheden. Læs her, hvilke risici I bør have fokus på som udbyder af en elektronisk kommunikationstjeneste.
Risikostyring på persondatasikkerhedsområdet handler om at identificere og vurdere risici for brud på persondatasikkerheden med henblik på at forebygge brud.
Vær særligt opmærksom på at vurdere risici i forbindelse med systemændringer, praksisændringer, migrering af data eller forud for lancering af et nyt system, da sådanne ændringer kan medføre nye fejlkilder.
To overordnede spørgsmål, I bør overveje, når I foretager en risikovurdering af en proces, hvor der behandles personoplysninger:
Hvis jeres virksomhed skal have et nyt it-system, eller hvis data skal migreres mellem to systemer, er det vigtigt at være opmærksom på, at det kan skabe nye fejlkilder og risici for potentielle brud på persondatasikkerheden.
Under en datamigration er der fx risiko for, at uautoriserede medarbejdere får adgang til persondata, de ikke burde have adgang til.
Ved indkøb af nye it-systemer er det derfor vigtigt at få overblik over, hvilke personoplysninger der ligger på både det gamle og det nye it-system, hvordan det gamle system bliver afviklet og hvordan man håndterer rettighedsstyring på det nye it-system.
Udbydere af elektroniske kommunikationstjenester skal løbende sikre passende tekniske og organisatoriske foranstaltninger med henblik på at undgå brud på persondatasikkerheden. Det betyder, at foranstaltningerne skal opretholde et sikkerhedsniveau, der står i forhold til de identificerede risici under hensyntagen til de teknologiske muligheder og omkostningerne i forbindelse med gennemførelse af foranstaltningerne.
Hvis en fejl har medført brud på persondatasikkerheden i din virksomhed, er det en god anledning til at overveje, hvorvidt eksisterende foranstaltninger er passende, eller om de bør justeres.
Tre spørgsmål, du bør overveje afhængig af fejltypen: