Virksomheder og myndigheder, der skal sikre sig, at de har passende sikkerhedsforanstaltninger, får i dag et nyt redskab i deres daglige arbejde. Et katalog over foranstaltninger er i dag blevet offentliggjort på Datatilsynets hjemmeside og skal bidrage til, at man lettere kan finde løsninger til at håndtere risici.
Kataloget indeholder en lang række tekniske og organisatoriske foranstaltninger, som kan læses uafhængigt af hinanden. Mange af de nuværende foranstaltninger er skrevet med henblik på en kommende vejledning om rettighedsstyring, men meningen er, at kataloget med tiden bliver udbygget, så det vil favne mere bredt, og fremtidige vejledninger kan henvise til forskellige foranstaltninger i kataloget.
"Vi har glædet os til at gøre kataloget tilgængeligt, fordi vi tror, det med tiden kan blive et centralt værktøj for rigtig mange. Kravet i GDPR er, at dataansvarlige skal sikre passende tekniske og organisatoriske foranstaltninger - det er meget generelt, men kataloget er et forsøg på at gøre det helt konkret og anvendeligt," siger Ditte Yde Amsnæs, kontorchef i Datatilsynet.
Mange af foranstaltningerne indeholder konkrete eksempler, der bygger på Datatilsynets erfaringer fra tilsyn, anmeldte brud på persondatasikkerheden, EDPB’s retningslinjer og gældende ISO-standarder. Derudover er der også i mange af foranstaltningerne links til specikke relevante afgørelser på området. Disse findes under hver foranstaltning i en boks ved navn "Praksis".
Foranstaltningskataloget er blevet til i tæt samarbejde mellem jurister og it-sikkerhedskonsulenter, da overholdelsen af kravene til den juridisk-tekniske standard "passende sikkerhed" netop i meget høj grad både kræver en juridisk og en it-sikkerhedsmæssig indsigt.
Spørgsmål eller input?
Hvis du har spørgsmål eller forbedringsforslag til kataloget og foranstaltningerne, er du velkommen til at skrive til os på isa_it-sik@datatilsynet.dk