Artikel 5, stk. 1, litra f), i GDPR
Princippet om integritet og fortrolighed
Virksomheder, der behandler personoplysninger, skal sikre, at behandlingen er sikker og fortrolig. Virksomheden skal desuden vurdere de risici, som behandlingen udgør for de registrerede. For at overholde princippet om integritet og fortrolighed skal virksomheden træffe forskellige tekniske og organisatoriske sikkerhedsforanstaltninger.
Princippet om privatlivets fred og fortrolighed i GDPR
Mængden af sikkerhedsforanstaltninger, som virksomheden skal træffe, varierer afhængigt af arten af personoplysningerne. Jo mere følsomme personoplysningerne er, jo højere sikkerhed skal virksomheden implementere. Databeskyttelsesforordningens artikel 5, stk. 1, litra f), regulerer princippet om privatlivets fred og fortrolighed. Det er et af de syv databeskyttelsesprincipper i GDPR.
Virksomheden skal træffe foranstaltninger til at modvirke brud på persondatasikkerheden
Et brud på persondatasikkerheden er en form for sikkerhedshændelse. Betydningen af et brud på persondatasikkerheden i henhold til GDPR er, når en personoplysning ved et uheld eller ulovligt ændres, går tabt, eller at en uautoriseret person får adgang til dataene.
Et almindeligt brud på persondatasikkerheden er e-mails, der sendes til den forkerte modtager på grund af en menneskelig fejl. Dette kan f.eks. ske ved, at afsenderen staver modtagerens e-mailadresse forkert. Dette kan også gøres ved, at afsenderen sender beskeden til den forkerte modtager.
I nogle tilfælde skal virksomheder indberette brud på persondatasikkerheden til den nationale databeskyttelsesmyndighed. Hvis en sådan indberetning er påkrævet, foretages underretningen senest 72 timer efter opdagelsen af hændelsen. Desuden kan virksomheden også være nødt til at underrette de berørte registrerede om hændelsen.
Træffe tekniske og organisatoriske sikkerhedsforanstaltninger
Virksomhederne skal forhindre brud på persondatasikkerheden ved at træffe passende sikkerhedsforanstaltninger. Sikkerhedsforanstaltninger kan inddeles i to kategorier: organisatoriske sikkerhedsforanstaltninger og tekniske sikkerhedsforanstaltninger. Nedenfor kan du læse nogle eksempler på sådanne foranstaltninger.
Eksempler på tekniske sikkerhedsforanstaltninger
Brug af antivirussoftware
Virus kan resultere i tab af personoplysninger. De kan også give hackere, der plantede virussen, adgang til personlige data. Derfor bør virksomheder have antivirussoftware installeret på de enheder, de bruger, når de behandler personoplysninger.
Har backup-filer
For eksempel, hvis en harddisk ødelægges og indeholder personoplysninger, er det et brud på persondatasikkerheden, hvis virksomheden ikke har backupfiler. Derudover kan det være tidskrævende at gendanne de tabte data. Derfor er det godt at have backup-filer, for eksempel via en cloud-tjeneste.
Aktivér Multi-Factor Authentication (MFA), når du logger ind
Det er godt at have Multi-Factor Authentication (MFA) ved forskellige logins. Dette kan forhindre uautoriserede personer i at få adgang til oplysningerne i systemet, selv om de har adgang til adgangskoden.
Brug komplekse og unikke adgangskoder
En almindelig fejl, som nogle mennesker begår, er at have for enkle adgangskoder. En anden almindelig fejl er at genbruge den samme adgangskode til flere forskellige systemer eller brugerkonti. Hvis du har den samme adgangskode, og nogen får adgang til adgangskoden, bliver problemet større, end hvis det var forskellige adgangskoder. Derudover er der hackere, der bruger robotter, der tester tusindvis af forskellige adgangskoder for at se, om noget passer. Derfor bør man bruge vanskelige adgangskoder samt nogle kodesystem til at læse adgangskoden. Denne og mere nyttige viden inden for cybersikkerhed er noget, som virksomheden bør informere og uddanne sine medarbejdere om.
Kryptering af personoplysninger
Hvis en virksomhed behandler følsomme personoplysninger og f.eks. skal sende oplysningerne via e-mail, skal det ske med kryptering. Følsomme personoplysninger omfatter oplysninger om etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning eller helbredsoplysninger. Virksomheder som arbejdsgivere behandler ofte medarbejdernes sundhedsdata, såsom sygefravær. Denne type oplysninger fremgår bl.a. af lønsedlen og bør derfor ikke sendes pr. e-mail.
Virksomhederne skulle betale en bøde, bl.a. fordi de ikke havde foretaget en konsekvensanalyse vedrørende databeskyttelse (DPIA).
Tre virksomheder blev idømt bøder for deres overtrædelser af GDPR. En af virksomhederne havde lokaliseret sine medarbejderes køretøjer ved hjælp af et kørselsdatasystem. Som følge heraf udgjorde den en høj risiko for registreredes rettigheder og frihedsrettigheder, hvilket krævede en konsekvensanalyse vedrørende databeskyttelse. Denne vurdering foretages, inden de pågældende personoplysninger behandles. Konsekvensen for virksomheden var en bøde på 16 000 EUR.
Eksempler på organisatoriske sikkerhedsforanstaltninger
Udarbejde og indgå en skriftlig databehandleraftale
Virksomheder, der er dataansvarlige og engagerer en anden virksomhed, der er databehandler, skal indgå en databehandleraftale med hinanden. Databeskyttelsesforordningens artikel 28 regulerer dette krav. Derudover skal aftalen være skriftlig for at være gyldig i henhold til GDPR. Når en virksomhed behandler personoplysninger på vegne af en anden virksomhed, er de databehandlere. Et eksempel er, hvis en virksomhed ansætter et revisionsfirma til at styre virksomhedens regnskab. En databehandler kan også engagere en anden databehandler (benævnt "underdatabehandler"), men dette må kun ske med den dataansvarliges tilladelse.
Fastlæggelse af interne procedurer
Virksomhederne bør have interne procedurer på plads for at sikre, at personalet behandler personoplysninger i overensstemmelse med GDPR i praksis. Hvilke interne procedurer virksomheden skal have varierer. F.eks. afhængigt af bl.a. virksomhedens størrelse, den branche, som virksomheden opererer i, og arten af de personoplysninger, som virksomheden behandler.
- Eksempler på, hvad de interne procedurer kan henvise til, er:
- Anmeldelse og håndtering af brud på persondatasikkerheden.
- Sletning eller anonymisering af personoplysninger.
- Behandling af registreredes påberåbelse af deres rettigheder. F.eks. retten til indsigt (artikel 15 i GDPR), retten til berigtigelse (artikel 16 i GDPR) og retten til at blive glemt (artikel 17 i GDPR).
Udpeget databeskyttelsesrådgiver
Nogle virksomheder er forpligtet til at udpege en databeskyttelsesansvarlig i henhold til lovkrav. Den databeskyttelsesansvarlige spiller en vigtig rolle i virksomheden, men behøver ikke nødvendigvis at være en medarbejder. Det kan også være en ekstern tredjepart, der er databeskyttelsesansvarlig for en virksomhed. Både registrerede og ansatte bør kunne kontakte den databeskyttelsesansvarlige i tilfælde af spørgsmål. Det samme gælder for den nationale databeskyttelsesmyndighed. Derfor er det almindeligt at medtage DPO'ens kontaktoplysninger i virksomhedens meddelelse om beskyttelse af personlige oplysninger. Virksomheder, der ikke er forpligtet til at udpege en databeskyttelsesrådgiver i henhold til GDPR, kan vælge at gøre det alligevel som en frivillig foranstaltning.
Udpege databeskyttelsesambassadører
Hvis virksomheden har mange medarbejdere eller flere forskellige kontorer, kan det være nyttigt at udpege databeskyttelsesambassadører. Medarbejdere med denne rolle fungerer som sendere af oplysninger om GDPR til virksomhedens forskellige enheder og medarbejdere. Formålet er primært at sikre, at vigtige oplysninger om GDPR, som ledelsen træffer beslutning om, når ud til medarbejderne. For eksempel at kommunikere nye GDPR-rutiner til medarbejdere eller oplysninger om opdaget brud på persondatasikkerheden til ledelsen osv.
Brugertilladelser
Det er vigtigt, at virksomheden sikrer, at brugere af de forskellige systemer, der behandler personoplysninger, har de rette tilladelser. For eksempel bør kun få personer have brugerkonti med administratorrettigheder. Desuden gives brugerne kun adgang til data, når de har brug for at få adgang til dem for at kunne udføre deres opgaver. Dette er en måde at mindske risikoen for brud på persondatasikkerheden på. Når en medarbejder holder op med at arbejde for virksomheden, er det også vigtigt at have procedurer på plads for at sikre, at de ikke længere har adgang til virksomhedens systemer.
Behandling, der er særligt risikabel i henhold til GDPR
Der er visse typer behandling, der er særligt risikable i henhold til GDPR. Blandt andet når en virksomhed beskæftiger sig med:
- Ansattes sygeorlov
- Aflønning af ansatte
- Oplysninger om medarbejdernes fagforeningsmæssige tilhørsforhold.
- Oplysninger indsamlet med det formål at spore medarbejdernes præstationer.
- Kontrol af medarbejdernes identitet ved hjælp af ansigtsgenkendelse eller andre biometriske oplysninger
Udgangspunkt for sikkerhedsforanstaltninger i forbindelse med behandling af personoplysninger
Retsgrundlag og databeskyttelsesprincipper
Virksomheder skal have et retsgrundlag for hver enkelt behandling af personoplysninger. Der er i alt seks retsgrundlag. Disse omfatter kontrakter med registrerede (artikel 5, stk. 1, litra b), i GDPR), retlige forpligtelser (artikel 5, stk. 1, litra c), i GDPR) eller samtykke (artikel 5, stk. 1, litra a), i GDPR). Derudover skal virksomhederne overholde de syv grundlæggende databeskyttelsesprincipper. Artikel 5 i GDPR regulerer principperne. De gennemsyrer hele GDPR og er vigtige at kende som controller eller processor.
Analyser genstanden for beskyttelse
Når en virksomhed behandler personoplysninger, indebærer det risici for den registrerede. For det første skal virksomheden analysere genstanden for beskyttelsen. Det betyder, at virksomheden skal vurdere, hvilke personoplysninger de skal behandle, og hvor følsomme de er. Dette skal gøres, før behandlingen påbegyndes.
Analysere risici og foranstaltninger
Når virksomheden har analyseret det beskyttede objekt, skal de analysere de risici, der er forbundet med behandlingen. Desuden skal virksomhederne analysere, hvilke foranstaltninger de bør træffe for at minimere risiciene. I nogle tilfælde skal virksomhederne også foretage konsekvensanalyser for visse typer behandlinger. Jo mere følsomme personoplysninger virksomheder behandler, jo flere sikkerhedsforanstaltninger skal de tage. Hvis de registrerede er særligt sårbare på grund af f.eks. alder eller sundhedstilstand, er kravene højere.
Dokumenter det hele
Ifølge GDPR skal virksomheder kunne påvise, at de overholder GDPR i praksis. Dette krav følger af princippet om ansvarlighed (artikel 5, stk. 2, i GDPR), som er et af syv databeskyttelsesprincipper. Derfor er det vigtigt, at virksomheden dokumenterer alle foranstaltninger, analyser, vurderinger, rutiner, indhentning af samtykke mv. Det er virksomheden, der skal kunne dokumentere, at de overholder GDPR. Det er ikke de registrerede, der skal bevise, at virksomheden overtræder GDPR.
Flere principper
Princippet om ansvarlighed i henhold til GDPR
Virksomhederne skal kunne dokumentere, at de overholder GDPR i praksis. Det betyder, at det ikke er de registrerede eller tilsynsmyndigheden, der skal påvise, at virksomheden overtræder GDPR. For eksempel skal virksomheder skrive de aftaler og dokumenter, der er nødvendige i henhold til GDPR, dokumentere deres behandling og overholde de registreredes rettigheder mv Hvis en virksomhed overtræder GDPR, kan det have store økonomiske konsekvenser. I værste fald kan virksomhederne blive nødt til at betale en bøde på flere millioner dollar. Databeskyttelsesforordningens artikel 5, stk. 2, regulerer princippet om ansvarlighed.