Et af formålene med GDPR er, at du skal behandle personoplysninger sikkert. For at afgøre hvordan, at du behandler personoplysninger tilstrækkelig sikkert, så skal du kende risici for at persondata kompromitteres. Risici i din virksomhed er forskellig fra risici i andre virksomheder.
Derfor skal du lave en risikovurdering af netop dine behandlinger af personoplysninger.
Med en risikovurdering afdækker du risiciene for de personer, som din virksomhed behandler oplysninger omkring, så du kan indføre foranstaltninger til at begrænse disse risici.
GDPR giver ikke en endelig facitliste, som passer til alle virksomheder. Risikovurderingen fortæller netop dig hvad du skal gøre i praksis for at beskytte personoplysningerne i din virksomhed – og derfor er udarbejdelsen af risikovurderingen vigtig for din virksomhed.
Læs også vores næste artikel: Hvordan laves en risikovudering som går yderligere i dybden.
Prøv selv at lave dine risikovurderinger med .legal A/S’s gratis GDPR compliance software.
Hvad er formålet med en risikovurdering?
En risikovurdering har til formål at afdække risiciene ved behandlingen af personoplysninger for de personer, som virksomheden behandler oplysninger omkring.
Risikovurderingens fokus er altså
- kunder,
- ansatte,
- samarbejdspartnere,
- borgere,
- Medlemmer,
- etc.
Risikovurderingens fokus er ikke på virksomhedens forretningsrisici, som fx tab af intellektuelle rettigheder.
Risiko = sandsynlighed * konsekvens
For at kunne afklare risici ved behandlingen af personoplysninger, så bør man anvende en strukturet tilgang til at evaluere sine behandlinger af personoplysninger.
Vi foreslår, at du først starter med at lave en liste med truslerne ved en behandling for den registrerede. En trussel kan fx være:
- Hackerangreb på medarbejdernes hjemmekontor.
- Kunder kan se en computerskærm bag butiksskranke, som frit tilgængeligt viser kundekartoteket.
Du kan lave en liste med trusler sammen med de medarbejdere, som er tættest på behandlingsaktiviteten.
Med udgangspunkt i denne liste af trusler, så bør du vurdere sandsynligheden for at disse trusler finder sted i virkeligheden. Ved at vurdere sandsynligheden for en trussel (fx nedenstående eksempel med USB-stikket), så vurderer du om truslen er aktuel.
Hernæst, bør du foretage en vurdering af konsekvensen for den registrerede af at denne trussel fandt sted i virkeligheden. Ved at vurdere konsekvensen af en trussel, så vurderer du truslens indvirkning på et menneske (fx kundernes personoplysninger kan misbruges).
Når du har vurderet sandsynligheden for at en trussel finder sted, samt den eventuelle konsekvens heraf, så har du en risikovurdering for denne behandling
Du kan også læse vores artikel “Hvordan laves en risikovurdering?”.
Eksempel: Risikovurdering af brugen af USB-stik.
- Trussel: USB-stik indeholdende excelark med 100 B2B-kunder bortkommer på konference.
- Sandsynlighed: Virksomheden bruger ikke USB-stik, men det kan ikke udelukkes, at en medarbejder selv ville vælge at tage et USB-stik i brug. Det vurderes, at sandsynligheden er lav.
- Konsekvens: Kontaktoplysninger og købsforhold vil kunne bruges til socialengineering, og konsekvensen heraf er høj.
Du bør vurdere risici for samtlige af virksomhedens behandlingsaktiviteter. Dine behandlingsaktiviteter finder du i din fortegnelse.
Metodekrav
Der er i persondataforordningen ingen krav til den metode, som du benytter for at lave en risikovurdering, og derfor har du i frit valg. Det er dog klogt (og nemt) at følge en eksisterende metodik. Hermed sikrer du, at du laver en fyldestgørende risikovurdering, som du kan bruge i praksis.
Hvorfor lave en risikovurdering?
I flere af databeskyttelsesforordningens artikler skrives, at man skal tage hensyn til risiciene for de registrerede ved at indføre passende foranstaltninger fx artikel 24 og 32. Dette indebærer i praksis, at du skal lave risikovurderinger af din behandling af persondata
Ansvarlighedsprincippet i artikel 5, stk. 2 kræver desuden, at vi skal kunne dokumentere, at vi efterlever lovgivningen. En “nedskreven” risikovurdering bliver derfor implicit et krav, da kun en nedskreven risikovurdering kan dokumentere, at vi har afklaret en “passende beskyttelsesforanstaltning”.
Konsekvensanalyse
GDPR-reglerne kræver også, at en virksomhed i nogle tilfælde skal udføre en konsekvensanalyse jf. artikel 35.
Det er vigtigt at skelne mellem en risikovurdering og konsekvensvurdering.
En risiskovurdering har metodefrihed, hvorimod en konsekvensvurdering skal følge en særlig procedure jf. artikel 35, stk. 7.
En almindelig dansk virksomhed vil dog sjældent skulle lave en konsekvensanalyse. Man skal lave en konsekvensanalyse, hvis at man tager nye teknologier i brug, som kan indebære en høj risiko for almindelige menneskers rettigheder.
Opsummering
En risikovurdering vurderer sandsynligheden for at en trussel finder sted for behandlingen af personoplysninger, samt konsekvensen af denne, hvis truslen ville indtræffe.
Alle virksomheder skal udføre risikovurderinger af alle deres behandlinger af personoplysninger. Denne vurdering skal kunne dokumenteres, og derfor bør den nedskrives.
Læs også artikelen: Hvordan laves en risikovudering som går yderligere i dybden.