Personlige hændelser
Foretage en risikovurdering, når der sker et brud på persondatasikkerheden
Virksomhederne skal foretage en risikovurdering, når der forekommer et brud på persondatasikkerheden. Et brud på persondatasikkerheden er en sikkerhedshændelse, der involverer, at en uautoriseret person får adgang til persondata, eller at de ændres eller destrueres. Ved at foretage en risikovurdering kan virksomheden vurdere, hvilke foranstaltninger den skal træffe for at minimere risiciene og konsekvenserne af bruddet på persondatasikkerheden.
Virksomhederne skal foretage en risikovurdering, når der forekommer et brud på persondatasikkerheden.
Nedenfor kan du læse om nogle faktorer, som virksomhederne bør tage højde for, når de foretager risikovurderingen:
Hvilken type brud på persondatasikkerheden det er
Afhængigt af typen af hændelse kan konsekvenserne variere. I værste fald har det store konsekvenser. For eksempel, hvis et kreditkortnummer eller pasfoto lækker, og der er identitetstyveri, bedrageri eller lignende. I mange tilfælde er det også værre, når personoplysningerne er en kombination af forskellige typer, hvilket er godt at have i tankerne.
Personoplysningernes art og følsomhed
Jo vigtigere personoplysningerne er, desto større er risikoen for, at de registreredes rettigheder og frihedsrettigheder vil blive berørt. Det er derfor vigtigt at analysere betydningen af de personoplysninger, der er omfattet af bruddet på persondatasikkerheden. Databeskyttelsesforordningen indeholder fire kategorier af personoplysninger, der er følsomme over for privatlivets fred, hvoraf følsomme personoplysninger, der er reguleret i databeskyttelsesforordningens artikel 9, udgør en af kategorierne.
Hvor let det er at identificere de registrerede
En data, der kan knyttes til en fysisk levende person, er personoplysninger. Forbindelsen kan ske enten direkte eller indirekte i kombination med andre opgaver. Det er vigtigt at analysere, hvor let det er at identificere de registrerede ved hjælp af de personoplysninger, der er omfattet af hændelsen, når risikovurderingen foretages. Dette er nødvendigt for at analysere de potentielle konsekvenser af hændelsen.
Hvis en virksomhed har krypterede personoplysninger, og en uautoriseret får adgang til nogle af de krypterede data, men ikke kan læse dem uden de andre dele, kan det være mindre alvorligt, fordi risikoen for misbrug er mindre.
Konsekvenser, som et brud på persondatasikkerheden kan have for registrerede
Det er vigtigt at analysere de konsekvenser, som bruddet på persondatasikkerheden kan have for de registrerede. Derudover er det godt at analysere, hvordan det er muligt at minimere risiciene.
Risiciene kan f.eks. minimeres ved at informere de registrerede for at give dem mulighed for at træffe foranstaltninger. Desuden skal virksomhederne træffe deres egne passende foranstaltninger for at minimere risiciene.
Vel vidende, at kriminelle har fået adgang til dataene, er der en højere risiko for, at de vil blive misbrugt.
Type af registrerede
Det er vigtigt at analysere, hvilke typer registrerede der er blevet berørt af et brud på persondatasikkerheden. For eksempel har børn og syge en stærkere beskyttelse, fordi de er ekstra værdige til beskyttelse. Det kan derfor være mere alvorligt, hvis bruddet på persondatasikkerheden vedrører deres personoplysninger.
Afhængigt af hvilken type virksomhed controlleren driver, er risiciene forskellige. Hvis en lægeklinik rammes af et databrud, hvor følsomme personoplysninger om helbredsforhold lækkes, er det en mere alvorlig hændelse, end hvis der f.eks. lækkes oplysninger om, hvem der abonnerer på en filmtjeneste.
Mængden af registrerede og antallet af personoplysninger
Desuden er det vigtigt at analysere mængden af registrerede og personoplysninger, der er genstand for bruddet på persondatasikkerheden.
Flere oplysninger om personlige hændelser
Dokumentation i tilfælde af brud på persondatasikkerheden
Virksomheder skal altid dokumentere eventuelle brud på persondatasikkerheden. I dokumentationen skal virksomheden begrunde sin holdning og blandt andet beskrive, hvad der er sket. Desuden er det godt for virksomhederne at etablere procedurer for deres medarbejdere, hvor det er klart, hvordan de skal handle i tilfælde af brud på persondatasikkerheden. Dette er godt at gøre, så personalet hurtigt og effektivt kan håndtere bruddet på persondatasikkerheden og minimere risiciene.