Som led i Datatilsynets strategi om en mere data- og risikobaseret tilgang til vejledning og kontrol blev der i 2021 iværksat en række tilsyn baseret på egen-evaluering. Til undersøgelsen udvalgte Datatilsynet dataansvarlige fra tre forskellige brancher med forventet varierende grad af modenhed inden for databeskyttelse og informationssikkerhed. Formålet med egen-evalueringen var både at give Datatilsynet blik for bestemte emneområder med behov for øget indsats, men også at understøtte en mere forebyggende tilgang. Gennem den dataansvarliges interne proces med besvarelsen af de stillede spørgsmål, vil den dataansvarlige samtidig blive mere bevidst om relevante databeskyttelsesretlige overvejelser og forhold.
Det spørgeskema-baserede tilsyn dækkede 10 hotelvirksomheder, 9 forsikringsselskaber og 11 kommuner. De dataansvarlige blev bl.a. spurgt til implementeringen af en række sikkerhedsforanstaltninger, hvor ja-svar gav scoren 5 og nej-svar gav scoren 0. Diagrammet viser svargennemsnittet fordelt på branche.
Datatilsynets vurdering
På baggrund af de udfyldte spørgeskemaer kunne Datatilsynet vurdere de dataansvarliges overordnede håndtering af behandlingssikkerheden sammenholdt med karakteren af de behandlinger, som de dataansvarlige varetager. Den mere systematiske tilgang til besvarelserne gav ligeledes Datatilsynet mulighed for at vurdere de enkelte dataansvarlige i forhold til hinanden og på tværs af branchen.
Det er Datatilsynets overordnede vurdering, at der generelt er fokus på arbejdet med informationssikkerhed herunder databeskyttelse. Datatilsynet har dog noteret sig, at de dataansvarlige i flere tilfælde med fordel kunne have et større fokus på at etablere beredskab og beredskabsplaner for håndtering af situationer, hvor behandlingssikkerheden påvirkes, ligesom det er væsentligt gennem sin sikkerhedsorganisation at sikre en effektiv ledelsesmæssig forankring.
Som en del af Datatilsynets tilbagemelding på de gennemførte tilsyn fik hver enkelt dataansvarlig et antal konkrete anbefalinger til, hvilke områder, den dataansvarlige med fordel kunne fokusere yderligere på, ligesom de fik indblik i, hvordan deres egen-evaluering lå i forhold til de øvrige dataansvarlige inden for samme branche.
Du kan læse Datatilsynets anbefalinger til de tre brancher, der var omdrejningspunktet for modenhedsanalysen, her:
Anbefalinger til kommuners arbejde med informationssikkerhed
Anbefalinger til forsikringsselskabers arbejde med informationssikkerhed
Anbefalinger til hotelvirksomheders arbejde med informationssikkerhed
Flere modenhedstilsyn i 2022
Datatilsynet vil som led i sin indsats i 2022 gennemføre endnu flere tilsyn af samme type.
Vil du vide mere?
Du kan se spørgetemaerne for 2021 her, og den tilknyttede vejledning her.