Inddrag medarbejderne i risikovurderingen
Udarbejdelsen af en god risikovurdering kræver, at de relevante medarbejdere i virksomheden inddrages, så den tilgængelige viden om risici kommer frem i lyset.
Det er medarbejderne tættest på behandlingen af personoplysninger, som har mest viden om risici, og de bør inddrages for at kunne udarbejde en god risikovurdering.
Når du har udarbejdet en risikovurdering er det vigtigt, at ledelsen godkender og tager ansvar for denne. Det er ledelsen, som skal prioritere virksomhedens ressourcer, og de bør derfor acceptere virksomhedens overordnede risikoniveau ved behandling af personoplysninger.
Indhold
Kortlægninger
Udarbejdelse af risikovurderinger kræver, at du kender de behandlingsaktiviteter og informationsaktiver, hvor behandlingen foregår.
Dette overblik får du i din fortegnelse som indeholder de behandlingsaktiviteter, som du bør risikovurdere. Herudover, så viser kortlægningen af virksomhedens informationsaktiver et overblik af de it-systemer, som bør risikovurderes.
Du bør altså både risikovurdere ‘behandlingsaktiviteter’ og ‘it-systemer’.
Inddragelse af medarbejdere
I en større virksomhed, så er det vigtigt at inddrage de medarbejdere, som har ansvaret for arbejdsprocessen eller IT-systemet, hvortil der laves en risikovurdering.
Disse medarbejdere har mest viden om behandlingens risici, og vil desuden blive inddraget igen, hvis der skal indføres passende foranstaltninger til at nedbringe en eventuel risiko påvist i risikovurderingen.
Ansvar
Det er desuden vigtigt at uddelegere ansvaret for risikovurderingen til de personer, som varetager arbejdsopgaven for at sikre, at der tages ejerskab for de risici, som findes i virksomhedens processer og IT-systemer. Du bør altså overveje, at uddelegere ansvaret for risikovurderingens tilblivelse eller ajourførelse til relevante medarbejdere.
Systemejer og procesejer
Du kan operere med begreberne ‘systemejer’(ansvar for informationsaktiv) og ‘procesejer’ (ansvar for behandlingsaktivitet), så du sikrer, at alle virksomhedens behandlinger af personoplysninger varetages.
Systemeejeren vil eje ansvaret for at persondatabehandlingen i fx HR-systemet foregår korrekt. Systemejeren skal derfor koordinere med alle de procesejere, hvor HR-systemet indgår, som en del af en behandlingsaktivitet.
Procesejeren vil eje ansvaret for persondatabehandlingen i hele behandlingsaktiviteten fx lønadministration, og skal derfor koordinere med ‘systemejeren’, som har ansvaret for HR-systemet, og hvis relevant øvrige systemejere.
Grundighed
Risikovurderingen bør være grundig i undersøgelsen af risici for den registrerede, og derfor dykke godt ned i både sandsynligheden for at en trussel indtræffer, samt konsekvensen af denne for den registrerede. Læs mere om dette i artiklen “Hvad er en risikovurdering“.
I en afgørelse fra Datatilsynet pointeres vigtigheden af netop dette:
“Datatilsynet finder, at den af [virksomheden] fremsendte kopi af en risikovurdering ikke ses at omfatte en vurdering af, hvilke risici en videregivelse til uvedkommende kan udgøre for kundernes rettigheder og frihedsrettigheder. [….].
Datatilsynet kan som mulige risici eksempelvis nævne identitetstyveri. Herudover kan oplysninger om lokation have særdeles ubehagelige konsekvenser for den registrerede i hænderne på personer med onde hensigter, eksempelvis i tilfælde af chikane eller stalking. Datatilsynet kan i den forbindelse bemærke, at der i den ene sag er videregivet oplysninger om lokation til en kundes eks-kæreste.”
Af afgørelsen fremgår det, at risikovurderingen ikke havde undersøgt alle risici for behandlingen af personoplysninger.
Ledelsens godkendelse
Det er ledelsen, som fastsætter den strategiske retning for virksomheden, samt ressourceforbruget til forskellige opgaver.
Derfor er det vigtigt, at ledelsen i virksomheden godkender risikovurderingen, samt indførelsen af de ‘passende’ foranstaltninger for at nedbringe risikoen, samt den tilbageværende risiko i virksomhedens behandling af personoplysninger.
Ledelsen bør godkende risikovurderingen, fordi:
- Det kræver tid og penge at indføre nye foranstaltninger for at nedbringe risici.
- Indførelse af foranstaltningerne har indflydelse på virksomhedens generelle arbejdsgange.
- Risici ved behandlingen af personoplysninger er en forretningsrisiko (fx bøde, shitstorm,..), som ledelsen bør forholde sig til.
Opsummering
Der er ikke en ‘one-size-fits-all”, der fortæller hvordan, at du skal beskytte din virksomheds personoplysninger. Det er hér, at du skal bruge risikovurderingen. Din risikovurdering er din facitliste.
Har du lavet en grundig risikovurdering, samt taget behørige skridt til at indføre passende foranstaltninger, så vil Datatilsynet typisk se positivt på dette.