Udarbejdelsen af en god risikovurdering kræver, at de relevante medarbejdere i virksomheden inddrages, så den tilgængelige viden om risici kommer frem i lyset.
Det er medarbejderne tættest på behandlingen af personoplysninger, som har mest viden om risici, og de bør inddrages for at kunne udarbejde en god risikovurdering.
Når du har udarbejdet en risikovurdering er det vigtigt, at ledelsen godkender og tager ansvar for denne. Det er ledelsen, som skal prioritere virksomhedens ressourcer, og de bør derfor acceptere virksomhedens overordnede risikoniveau ved behandling af personoplysninger.
Kortlægninger
Udarbejdelse af risikovurderinger kræver, at du kender de behandlingsaktiviteter og informationsaktiver, hvor behandlingen foregår.
Dette overblik får du i din fortegnelse som indeholder de behandlingsaktiviteter, som du bør risikovurdere. Herudover, så viser kortlægningen af virksomhedens informationsaktiver et overblik af de it-systemer, som bør risikovurderes.
Du bør altså både risikovurdere ‘behandlingsaktiviteter’ og ‘it-systemer’.
Inddragelse af medarbejdere
I en større virksomhed, så er det vigtigt at inddrage de medarbejdere, som har ansvaret for arbejdsprocessen eller IT-systemet, hvortil der laves en risikovurdering.
Disse medarbejdere har mest viden om behandlingens risici, og vil desuden blive inddraget igen, hvis der skal indføres passende foranstaltninger til at nedbringe en eventuel risiko påvist i risikovurderingen.
Prøv selv at samarbejde om at lave jeres risikovurderinger med .legal A/S’s gratis GDPR compliance software.
Ansvar
Det er desuden vigtigt at uddelegere ansvaret for risikovurderingen til de personer, som varetager arbejdsopgaven for at sikre, at der tages ejerskab for de risici, som findes i virksomhedens processer og IT-systemer. Du bør altså overveje, at uddelegere ansvaret for risikovurderingens tilblivelse eller ajourførelse til relevante medarbejdere.
Systemejer og procesejer
Du kan operere med begreberne ‘systemejer’(ansvar for informationsaktiv) og ‘procesejer’ (ansvar for behandlingsaktivitet), så du sikrer, at alle virksomhedens behandlinger af personoplysninger varetages.
Systemeejeren vil eje ansvaret for at persondatabehandlingen i fx HR-systemet foregår korrekt. Systemejeren skal derfor koordinere med alle de procesejere, hvor HR-systemet indgår, som en del af en behandlingsaktivitet.
Procesejeren vil eje ansvaret for persondatabehandlingen i hele behandlingsaktiviteten fx lønadministration, og skal derfor koordinere med ‘systemejeren’, som har ansvaret for HR-systemet, og hvis relevant øvrige systemejere.
Grundighed
Du kan operere med begreberne ‘systemejer’(ansvar for informationsaktiv) og ‘procesejer’ (ansvar for behandlingsaktivitet), så du sikrer, at alle virksomhedens behandlinger af personoplysninger varetages.
Systemeejeren vil eje ansvaret for at persondatabehandlingen i fx HR-systemet foregår korrekt. Systemejeren skal derfor koordinere med alle de procesejere, hvor HR-systemet indgår, som en del af en behandlingsaktivitet.
Procesejeren vil eje ansvaret for persondatabehandlingen i hele behandlingsaktiviteten fx lønadministration, og skal derfor koordinere med ‘systemejeren’, som har ansvaret for HR-systemet, og hvis relevant øvrige systemejere.
Ledelsens godkendelse
Det er ledelsen, som fastsætter den strategiske retning for virksomheden, samt ressourceforbruget til forskellige opgaver.
Derfor er det vigtigt, at ledelsen i virksomheden godkender risikovurderingen, samt indførelsen af de ‘passende’ foranstaltninger for at nedbringe risikoen, samt den tilbageværende risiko i virksomhedens behandling af personoplysninger.
Ledelsen bør godkende risikovurderingen, fordi:
- Det kræver tid og penge at indføre nye foranstaltninger for at nedbringe risici.
- Indførelse af foranstaltningerne har indflydelse på virksomhedens generelle arbejdsgange.
- Risici ved behandlingen af personoplysninger er en forretningsrisiko (fx bøde, shitstorm,..), som ledelsen bør forholde sig til.
Opsummering
Der er ikke en ‘one-size-fits-all”, der fortæller hvordan, at du skal beskytte din virksomheds personoplysninger. Det er hér, at du skal bruge risikovurderingen. Din risikovurdering er din facitliste.
Har du lavet en grundig risikovurdering, samt taget behørige skridt til at indføre passende foranstaltninger, så vil Datatilsynet typisk se positivt på dette.