Ny vejledende tekst om risikostyring

Dato: 21-06-2019

En ny vejledende tekst fra Datatilsynet og Rådet for Digital Sikkerhed giver nogle operationelle råd om risikovurdering.

Datatilsynet og Rådet for Digital Sikkerhed har udgivet en vejledende tekst om, hvordan man vurderer risici for de registrerede, når man behandler deres personoplysninger. Teksten er relevant for alle, som behandler personoplysninger, og mange af de foranstaltninger og andre tiltag, som de skal iværksætte, skal ske på baggrund af en risikovurdering.

Hvad er en risikovurdering?

Det er risikovurderingen, som bidrager til at skabe den røde tråd i arbejdet med at beskytte de personer, som virksomheder og myndigheder behandler oplysninger om. Risikostyring spiller således en central rolle i databeskyttelsesforordningen og databeskyttelsesloven.

Den vejledende tekst kan bruges som et framework til at identificere risici og estimere sandsynligheden for, at risici udløser en sikkerhedshændelse, og hvad konsekvensen herved vil være. På den baggrund kan man vurdere, om man vil acceptere risikoen, eller om der skal iværksættes nye sikkerhedsforanstaltninger for at imødegå risikoen. Sikkerhedsforanstaltningerne kan f.eks. være instruktioner til medarbejderne i, hvordan de skal behandle personoplysninger eller tekniske installationer, som blokerer for skadelige sites eller opdager huller i de programmer, der behandler personoplysninger.

Grundlag for sikker databehandling

”Når man behandler personoplysninger, er det en vigtig forudsætning, at man passer godt på de registreredes oplysninger og iværksætter de passende foranstaltninger, der skal til for at imødegå risici. Med vores vejledende tekst kan de dataansvarlige få inspiration til, hvordan de skal gennemføre risikovurderinger og dermed få grundlaget for sikker databehandling på plads,” siger Allan Frank, jurist og it-sikkerhedskonsulent i Datatilsynet.

”Der sker løbende sikkerhedshændelser, og der opstår hele tiden nye sikkerhedshuller, og det skal de dataansvarlige være i stand til at håndtere. Det er vigtigt, at de dataansvarlige, som er udfordret med selv at løfte opgaven med de persondataretlige regler, kan få nogle forholdsvist operationelle råd, således som det sker i denne tekst,” siger Henning Mortensen formand for Rådet for Digital Sikkerhed.

Flere vejledende tekster på vej

Datatilsynet og Rådet for Digital Sikkerhed udgiver sammen en række tekster om databeskyttelse i en persondataretlig kontekst. Det er tanken, at de skal have et praktisk tilsnit og kunne fungere som værktøjer eller understøtte konkrete vurderinger hos virksomheder og myndigheder. Dette er den første vejledende tekst i serien.

[NB - linket til vejledningen er fjernet, da en ny version er under udarbejdelse]

Yderlige informationer