Det kan virke abstrakt at lave en risikovurdering, hvis du ikke tidligere har arbejdet med risikovurderinger i virksomheden.
I denne artikel gennemgår vi hvordan, at du kan udarbejde en risikovurdering for din virksomheds behandlinger af personoplysninger.
Denne artikel gennemgår og forklarer risikovurderingens forskellige elementer. Hvis du gerne vil vide hvad en risikovurdering er, samt hvorfor den skal laves, så har vi også skrevet en artikel om dette.
Prøv selv at lave dine risikovurderinger med .legal A/S’s gratis GDPR compliance software.
Risikovurderingsmetode
I det følgende vil det blive beskrevet hvad en trussel er, samt hvordan at vi vurderer sandsynligheden for, at en trussel indtræffer, samt hvad konsekvensen af dette ville være.
Scoringsmodel
En virksomhed kan potentielt have fra 20 behandlingsaktiviteter til 100+ behandlingsaktiviteter. Derfor er det nyttigt at kunne sammenligne risici på basis af en standardiseret scoring. Herigennem kan vi prioritere de forskellige risici, så vi afhjælper de vigtigste trusler først ved at indføre de pårkrævede passende foranstaltninger.
Identifikation af trusler
Det første skridt i risikovurderingen er at identificere hvilke trusler, der kan påvirke virksomhedens persondatasikkerhed.
Når du har identificeret truslerne, så kan du herefter vurdere sandsynligheden for at truslen indtræffer, samt konsekvensen af denne trussel, hvis den indtræffer.
Eksempler på trusler:
- Bedrageri fra ansatte
- Sabotage
- Vandalisme
- Tab eller tyveri af mobile enheder (smartphones/tablets)
- Tab eller tyveri af hardware
- Tab eller tyveri af dokumenter
- Tab eller tyveri af sikkerhedskopier
- Utilsigtet lækage/deling af data mellem medarbejdere
- Læk af data via mobilapplikationer
- Læk af data via webapplikationer
- Læk af information overført via netværk
- Tab af information på grund af vedligeholdelsesfejl / operatørfejl
- Tab af information på grund af konfigurations-/installationsfejl
- Brug af information fra en upålidelig kilde
- Utilsigtet ændring af data i et IT-system
- Informationslækage/deling fx data sendt til forkert modtager
- Uautoriseret fysisk adgang / Uautoriseret adgang til lokaler
- Tvang, afpresning eller korruption
- Skader pga. krigsførelse
Fortrolighed, tilgængelighed, integritet
Hvordan kan man metodisk vurdere sandsynligheden for at persondata kompromitteres?
Indenfor informationssikkerhed anvender man begreberne fortrolighed, tilgængelighed og integritet til at evaluere sandsynligheden for, at en trussel har indvirkning på persondatasikkerheden.
Hvordan kan man metodisk vurdere konsekvensen af at persondata kompromitteres?
Igen, så kan man anvende begreberne fortrolighed, tilgængelighed og integritet til at vurdere hvad konsekvensen er for den registrerede i relation til disse 3 begreber.
I det følgende gennemgås de 3 begreber; fortrolighed, tilgængelighed, integritet.
Fortrolighed
Fortrolighedsbegrebet omhandler, at informationer skal beskyttes mod uautoriseret adgang eller videregivelse, således at uvedkommende ikke kan gøre sig bekendt med oplysningerne. Dette kan fx indebære beskyttelse mod hackere eller at undgå at sende mails til forkerte modtagere.
Hvordan evalueres fortrolighed?
Stil dig selv følgende spørgsmål:
- Hvad er sandsynligheden for at fortroligheden af personoplysninger kompromitteres ved en specifik trussel?
- Hvad er konsekvensen for den registrerede (fx kunde/medarbejder), hvis denne fortrolighed kompromitteres?
Tilgængelighed
Tilgængelighed omhandler, at informationer skal beskyttes mod en uautoriseret adgangsbegrænsning for personer, som har retmæssig adgang. Hvis man ikke kan tilgå personoplysninger i fx sin netbank, så kan dette have negative konsekvenser for vedkommende – måske kan man ikke betale en regning til tiden.
Hvordan evalueres tilgængelighed?
Stil dig selv følgende spørgsmål:
- Hvad er sandsynligheden for at tilgængeligheden af vedkommendes personoplysninger begrænses ved en specifik trussel?
- Hvad er konsekvensen for den registrerede (kunder/medarbejder), hvis denne tilgængelighed begrænses?
Integritet
Integritet omhandler, at informationer skal beskyttes mod uautoriseret ændring eller ødelæggelse. Oplysninger skal naturligvis være korrekte, da det er hele grundlaget for at behandle oplysninger. Hvis der skal udbetales løn til en medarbejder, så skal de korrekte oplysninger naturligvis være registreret i lønsystemet. Hvis der sker fejl i forbindelse med lønudbetalingen, så kan en medarbejder risikerer at mangle eller miste sine lønpenge.
Hvordan evalueres integritet?
Stil dig selv følgende spørgsmål:
- Hvad er sandsynligheden for at integriteten af personoplysninger kompromitteres ved en specifik trussel?
- Hvad er konsekvensen for den registrerede (fx kunde/medarbejder), hvis denne integritet kompromitteres?
Pointtildeling (sandsynlighed)
Med de tre foregående begreber, så har du en metode til systematisk at vurdere sandsynligheden for, at en trussel kan påvirke hhv fortroligheden, tilgængeligheden og integriteten af behandlingen af personoplysninger.
Tildel en score 1-5
Brug en 5-trinsskala til at vurdere sandsynligheden fra 1 (meget lille) – 5 (meget høj) af, at en trussel indtræffer:
- Meget lille sansynlighed for at X sker
- Lille sandsynlighed for at X sker
- Nogen sandsynlighed for at X sker
- Høj sandsynlighed for at X sker
- Meget høj sandsynlighed for at X sker
Dette kan du eventuelt registrere i et hjemmelavet excelark ligesom på nedenstående billede.
Pointtildeling (konsekvens)
De samme tre begreber bruger vi også til at vurdere konsekvenserne for de personer, som måtte være omfattet af en kompromittering af deres persondata.
Tildel en score 1-5
Brug en 5-trinsskala til at vurdere konsekvensen fra 1 (meget lille) – 5 (meget høj) af, at en trussel indtræffer:
- Meget lille konsekvens for den registrerede, hvis X sker
- Lille konsekvens for den registrerede, hvis X sker
- Nogen konsekvens for den registrerede, hvis X sker
- Høj konsekvens for den registrerede, hvis X sker
- Meget høj konsekvens for den registrerede, hvis X ske
- Hvad er konsekvensen for den registrerede, hvis fortroligheden af persondata kompromitteres, hvis en computer bortkommer?
- Hvad er konsekvensen for den registrerede, hvis tilgængeligheden af persondata kompromitteres, hvis en computer bortkommer?
- Hvad er konsekvensen for den registrerede, hvis integriteten af persondata kompromitteres, hvis en computer bortkommer?
Konsekvenser for de registrerede
Når du skal vurdere konsekvenserne for de registrerede, så kan du overveje nedenstående forhold. Det er vigtigt, at risikovurderingen blot forholder sig til den registrerede, da det er disse, som er omdrejningspunktet for GDPR-reglerne:
- Fysisk skade
- Materiel skade
- Immateriel skade
- Forskelsbehandling
- Identitetstyveri
- Identitssvig
- Økonomiske konsekvenser
- Omdømmetab
- Sociale konsekvenser
- Indflydelse på privatliv
- Skade på menneskelig værdighed
- Skade på legitime interesser
- Begrænsning eller krænkelse af fundamentale rettigheder og frihedsrettigheder
- Forhindring i udøvelse af kontrol med egne personoplysninger
Risiko
Den samlede risiko for den registrerede er en kombination af sandsynligheden for at X sker, samt konsekvensen af X, hvis dette ville ske.
Risikovurderingen i denne metode er et produkt af sandsynligheden og konsekvensen for den specifkke trussel.
I eksemplet fra billederne ovenover vurderede vi sandsynligheden og konsekvensen for den registrerede ved en bortkommet computer. Risikoen herved for den registrerede vurderes derfor til 2*3 = 6.
Dette har vi angivet i skemaet i billedet herunder.
I det konkrete tilfælde, så er der en mellem risiko forbundet med en bortkommet computer. Det betyder, at vi formentlig bør se nærmere på at implementere nogle passende foranstatlninger for at nedbringe denne risiko.
Passende foranstaltninger
Med din risikovurdering af en behandlingsaktivitet i hånden, så bør du nu se på om du bør indføre foranstaltninger for at nedbringe risikoen til et acceptabelt niveau.
Følgende spørgsmål kan guide dig til at identificere foranstaltninger til at nedbringe risikoen:
- Hvilke foranstaltninger har virksomheden allerede indført? Kan disse foranstaltninger skærpes?
- Hvilke nye foranstaltninger vil have en betydelig effekt på at nedbringe risikoen?
- Hvilke foranstaltninger vil være lette at indføre for virksomheden?
Når du har indført disse foranstaltinger, så vil dette have en indvirkning på risici for den registrerede – det er jo hele formålet med at indføre foranstaltningen. Det betyder også, at du får en ny risikosituation, og derfor bør du opdatere din risikovurdering.
Ny risikovurdering: (konsekvens x sandsynlighed) – foranstaltninger = ny risiko.
Opsummering
Med en risikovurdering, så skaber du et indblik i risikoen for de registrerede ved din behandling af personoplysninger. En risikovurdering kan tage udgangspunkt i sandsynligheden for at kompromittere personoplysninger, samt konsekvensen for de registrerede, hvis dette skulle ske i praksis. Tilsammen udtrykker disse risikoen for den registrerede.
Dette indblik i risikoen for den registrerede gør dig i stand til at indføre passende organisatoriske og tekniske sikkerhedsforanstaltninger, som kan beskytte dem du behandler personoplysninger omkring.
Risikovurderingen er et vigtigt redskab til at efterleve GDPR-reglerne i praksis, og desuden et centralt element i din GDPR-dokumentation.
Yderligere læsning
Hvis du ønsker yderligere information om risikovurderinger, så kan du med fordel tage et kig på disse kilder:
- Datatilsynets vejledning om risikovurdering.
- Virksomhedensguidens IT-risikovurderingsværktøj.
- ENISA: “Handbook on Security of Personal Data Processing”, hvor du selv kan downloade vejledningen, som er på engelsk.