Site Search

Loading Results

Datatilsynets tilsynsaktiviteter for 2024:

Få styr på risikovurderinger og behandlingssikkerhed
#
  • 23/01/24

Den 28. januar er den internationale databeskyttelsesdag, og derfor sætter vi fokus på beskyttelse af personoplysninger, herunder særligt risikovurderinger og behandlingssikkerhed. 

 

Risikovurderinger og behandlingssikkerhed er også nogle af de tilsynsområder, som Datatilsynet vil have særligt fokus på i deres tilsynsaktiviteter for 2024. Størstedelen af Datatilsynets afgørelser vedrører manglende risikovurderinger og behandlingssikkerhed. 

 

Risikovurderinger og identifikation af passende sikkerhed er et af de områder, som mange organisationer finder udfordrende at udføre i praksis. Vi giver i denne artikel et overblik over de centrale trin, som skal udføres i forbindelse med en risikovurdering.

Datatilsynets fokus på risikovurderinger og behandlingssikkerhed

Datatilsynet har for nylig offentliggjort en oversigt over ti typiske brud på persondatasikkerheden, som stort set alle almindeligvis kan undgås, hvis der er implementeret passende sikkerhedsforanstaltninger ved behandling af personoplysninger.

Manglende implementering af passende sikkerhedsforanstaltninger skyldes ofte, at organisationen ikke har foretaget de nødvendige risikovurderinger. Formålet med risikovurderingen er netop at identificere, om de eksisterende sikkerhedsforanstaltninger er tilstrækkelige, eller om der skal iværksættes yderligere sikkerhedsforanstaltninger for at imødegå risikoen.

Manglende risikovurderinger og dermed manglende implementering af passende sikkerhedsforanstaltninger (behandlingssikkerhed) er også nogle af de områder, som Datatilsynet især vil have fokus på i deres tilsyn i 2024.

Manglende risikovurderinger og behandlingssikkerhed kan ikke alene resultere i sanktioner fra Datatilsynet, men organisationen risikerer også at miste kundernes eller borgernes tillid, hvilket er afgørende for at tilskynde brugen af nye produkter og tjenesteydelser, som i stadig stigende grad er digital understøttet.

Størstedelen af Datatilsynets afgørelser – og hidtil største bødeindstilling – vedrører også manglende risikovurderinger og behandlingssikkerhed:

  • En virksomhed blev indstillet til bøde, da virksomheden ikke har indbygget passende sikkerhed i selve designet af deres løsning, hvilket resulterede i, at brugere fik uberettiget adgang til andre brugeres oplysninger, og dermed adgang til både fortrolige og følsomme personoplysninger. Tilsynet lagde også vægt på, at der ikke var udarbejdet en konsekvensanalyse.
  • En leverandør af et system fik kritik for manglende sikkerhed. Ved aktivering af en funktion i systemet blev det herefter muligt for brugerne, der ikke havde et arbejdsbetinget behov, at tilgå kildekoden, hvori der fremgik personoplysninger.
  • En organisation fik kritik for utilstrækkelig risikovurdering, da organisationens system havde nogle grundlæggende sikkerhedsmæssige risici, der krævede udarbejdelse af en særskilt risikovurdering for de registrerede rettigheder. Det var dermed ikke tilstrækkeligt at udarbejde en “generel” risikovurdering.
  • Datatilsynet har, på baggrund af tilsynsbesøg udtalt både kritik og alvorlig kritik i sager vedrørende risikovurdering og konsekvensanalyse. Organisationerne kunne ikke fremvise dokumentation, der kunne påvise, at de havde identificeret og/eller nedbragt risici vedrørende behandling af personoplysninger for at sikre et passende sikkerhedsniveau.

Hvad er en "GDPR"-risikovurdering?

Et grundlæggende element i GDPR er en risikobaseret tilgang til databeskyttelse, og det kommer særligt til udtryk i artikel 32 om behandlingssikkerhed, som er omdrejningspunktet for denne artikel. 

Behandlingssikkerhed indebærer, at organisationen har ansvaret for at sikre, at der tilvejebringes et sikkerhedsniveau (fx ved brug af kryptering), der forhindrer brud på persondatasikkerheden – fx identitetstyveri, tab af ære og velfærd, uautoriseret adgang, datatab mv. I en "GDPR"-risikovurdering skal man altså vurdere risikoen for, at personoplysninger fx bliver delt med uvedkommende, hvad konsekvensen heraf kan være, og hvordan man nedbringer denne risiko.

Mange organisationer har allerede udført it-risikovurderinger, hvor fokus er på konsekvenserne for organisationen. Selvom det kan være en god idé at arbejde videre med allerede eksisterende it-risikovurderinger samt metoden og processen herfor, er genstanden for "GDPR"-risikovurderinger ikke organisationen selv, men derimod de registrerede (fx kunderne, borgerne eller medarbejderne). Det betyder, at der skal foretages en vurdering af, hvilke risici organisationen udsætter sine kunder, borgere eller medarbejdere for i forbindelse med organisationens behandling af personoplysninger. Der er ikke en "facitliste" for, hvilke sikkerhedsforanstaltninger, der er passende, så det er organisationen, der selv har ansvaret for at udvælge relevante sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de identificerede risici. Fordelen ved denne tilgang er, at organisationerne har mulighed for at justere på brugen af ressourcer, så de ikke "overimplementerer" sikkerhedsforanstaltningerne.

Både den dataansvarlige og databehandleren skal i henhold til artikel 32 i GDPR gennemføre risikovurderinger for at vurdere og fastsætte passende sikkerhedsforanstaltninger. GDPR har ikke fastlagt en metode til udarbejdelse af risikovurderinger, som organisationer skal følge. Der er derfor en vis grad af metodefrihed. 

PwC har nedenfor udarbejdet en praktisk guide, så I nemt kan komme i gang med at lave GDPR-risikovurderinger. Risikovurderinger kan med fordel udarbejdes i et Excel-ark.

For at komme i gang med at risikovurdere er det en god idé at tage udgangspunkt i fortegnelserne, hvor jeres behandlingsaktiviteter er beskrevet. Der skal udarbejdes en risikovurdering for alle behandlingsaktiviteter, men det er muligt at samle behandlingsaktiviteter, der tilnærmelsesvis har ens processer (fx brug af fælles it-system og workflow) i én risikovurdering. 

Det er vigtigt at inddrage alle relevante interessenter (fx Legal, IT og andre, der kender til behandlingsaktiviteter), så det sikres, at alle nødvendige oplysninger indgår i risikovurderingen.

Identificér de relevante trusler samt de organisatoriske og tekniske sårbarheder, som potentielt kan udnyttes af truslerne. På baggrund heraf vurderes sandsynligheden for, at truslerne realiseres (opstår). Trusler består af en række hændelser, som potentielt kan udgøre en trussel for den registreredes rettigheder. De kan være af både teknisk (fx manglende adgangsstyring), fysisk (utilstrækkelig fysisk sikkerhed) og organisatorisk karakter (internt i organisationen). Se eksempler nedenfor på, hvilke organisatoriske trusler og sårbarheder PwC anvender i vores risikovurderinger:

1. Medarbejders utilsigtede læk af data:

Personoplysninger eksponeres ved en fejl for eksterne personer, der ikke bør kunne se oplysningern - fx fejlagtig offentliggørelse eller videregivelse af personoplysninger, fejlsending af e-mails til forkert modtager eller fremsendelse af forkerte filer.

2. Brugerfejl i dataindput:

Personoplysningerne, der behandles, er ukorrekte på grund af fejlbehandling eller forkerte oplysninger - fx forkert indtastning, forkert afkrydsning af felter, forkert journalisering, fordi der er modtaget forkerte oplysninger (både utilsigtet og tilsigtet). Fejlen kan fx resulterer i forkerte transkaktioner.

3. Medarbejders utilsigtede sletning:

Personoplysninger er ved en fejl blevet slettet af en medarbejer eller anden autoriseret bruger.

4. Intern uvedkommende adgang til oplysninger (fx på grund af manglende adgangsbegrænsning):

Medarbejdere kan få adgang til personoplysninger, som de ikke har et arbejdsbetinget behov for at kunne tilgå - fx pga. manglende opdatering af adgangsrettigheder i forbindelse med et afdelingsskift og generelt tildeling af for brede adgangsrettigheder.

5. Fysisk uautoriseret adgang til informationer (og systemer):

Medarbejdere uden arbejdsbetinget behov eller eksterne personer (fx gæster og håndværkere) kan få adgang til personoplysninger.

6. Afsløring og/eller deling af brugernavne og passwords:

Medarbejdere deler passwords til et eller flere systemer eller adgangskoder, så disse ikke er tilstrækkeligt beskyttede - fx nedskrevet på post it's.

7. Tab/Tyveri af informationsaktiver:

Udstyr med informationsaktiver, der kan mistes eller forlægges, inkluderer laptops, tablets, smartphones, transportable lagringsmedier, notesbøger og print.

8. Brug af ikke-autoriserede systemer (fx fildeling via Dropbox, PDF-convertere og oversættelsesværktøjer):

Systemer, der ikke er godkendt til behandling af personoplysninger, kan omfatte privat e-mail, fildelingstjenester (såsom Dropbox), online PDF-convertere og oversættelsesværktøjer (fx Google Translate).

9. Ulåst pc:

Pc'er, der efterlades uden opsyn med ulåst skærm.

Til afdækning af sårbarheder besvares en række sikkerhedsspørgsmål med udgangspunkt i det system, der vurderes. Sårbarheder og trusler anvendes til at vurdere, hvorvidt det er sandsynligt, at en hændelse indtræffer. 

  1. Har I/systemejer overblik over antal brugere på enhederne/i systemerne i processen samt deres rettigheder?
  2. Er enhederne/systemerne, der bruges, beskyttet med adgangskoder?
  3. Bliver de handlinger, der foretages på enhederne/i systemerne registreret (logning)?
  4. Bliver alle medarbejdere med adgang til systemet løbende vurderet, i forhold til om deres adgang er arbejdsbetinget?
  5. Gennemføres der regelmæssigt en gennemgang af medarbejderes brugeradgange og adgangsrettigheder til enhederne/systemerne?
  6. Er der taget stilling til behovet for fysisk sikring (lokaler, kontorer mv.) i forbindelse med anvendelse af enhederne/systemerne?
  7. Foretages der regelmæssig sikkerhedsopdatering af systemet?
  8. Anvendes der et anitivirusprogram til beskyttelse af systemet?
  9. Er systemerne monitoreret og overvåget, fx i form af SIEM, IDS eller IPS?
  10. Er trafikken til løsningen begrænset således, at det kun er den nødvendige trafik, der er tilladt? (Porte og protokoller)
  11. Er der udarbejdet driftsprocedurer for løsningen?
  12. Er der implementeret spamfilter i den anvendte mailløsning?

Næste skridt er at afdække de reelle konsekvenser for de registrerede, som behandlingsaktiviteten omfatter. Hvis det er relevant, bør der også tages hensyn til særlige persongrupper, fx børn eller andre sårbare persongrupper. I vurderingen bør der tages udgangspunkt i den registreredes privatlivsrettigheder, frihedsrettigheder og fysiske/psykiske påvirkning.

Følger man best practice bør vurderingen af konsekvenser afledt af den igangsatte behandlingsaktivitet ske ud fra principperne fortrolighed, integritet og tilgængelighed (FIT), som almindeligvis også anvendes i ISO-standarder.

Konsekvensvurderingen og sandsynligheden for, at truslerne indtræffer, resulterer i en risikovurdering, herunder risikoen for de registreredes rettigheder. Det kan fx være, at truslen "medarbejders utilsigtede læk af data" vurderes til at have en alvorlig konsekvens for de registrerede, og at det vurderes, at sandsynligheden for, at truslen indtræffer, er høj på grund af manglende foranstaltninger. I så fald kan det resultere i en høj risiko for den registreredes rettigheder. En risikovurdering kan visualiseres i et matrix/heatmap, men det er ikke et krav.

Forhold jer til resultaterne i risikovurderingen, herunder hvilke risici I kan acceptere, og hvilke der skal håndteres for at nedbringe risikoen. Risikoappetitten skal være forsvarlig i forhold til den behandling, der foretages, og vurderingen bør tage afsæt i fx kategorien af personer og kategorien af personoplysninger.

Det anbefales at lave en prioriteret liste over trusler og notere, hvorvidt de accepteres, undgås ved at ændre/stoppe processen eller reduceres ved at indføre sikkerhedsforanstaltninger (fx adgangsstyring og/eller kryptering), der nedbringer sandsynligheden for, at en hændelse indtræffer, og/eller konsekvensen for den registrerede.

Har du brug for inspiration til sikkerhedsforanstaltninger, så kan du med fordel kigge i Datatilsynets nye katalog for foranstaltninger

Hvordan kan vi hjælpe dig?

PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 rådgivere i Danmark.

PwC’s juridiske specialister rådgiver om alle aspekter af databeskyttelsesretten. Med en dyb juridisk ekspertise og en praktisk operationel tilgang baseret på omfattende erfaring navigerer vi vores klienter sikkert gennem det komplekse terræn af databeskyttelsesretlig lovgivning og sikrer, at vores klienter samtidig udnytter mulighederne i den teknologiske udvikling.

Kontakt os

Aleksandar Predrag Piletich

Senior Manager, Technology & Security, Hellerup, PwC Denmark

2928 5743

E-mail

Christian Kjær

Partner, Technology & Security, København, PwC Denmark

3945 3282

E-mail

Følg PwC
Om os Kontorer Presse Kontakt os

© 2021 - 2024 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.