GDPR
Risikovurdering i henhold til GDPR
Virksomhederne skal foretage en risikovurdering i overensstemmelse med GDPR, inden de påbegynder en ny behandling af personoplysninger, indfører nye IT-systemer eller planlægger nye teknologier, der behandler personoplysninger.
Risikovurdering: Baseret på de registreredes perspektiv
Når virksomheden foretager en risikovurdering, bør den tage hensyn til risikoen ved behandlingen for de registrerede og ikke risiciene for virksomheden. Med andre ord at tage udgangspunkt i de registreredes perspektiv.
F.eks. kan behandling af personoplysninger føre til forskelsbehandling af registrerede eller økonomiske tab for registrerede.
Hvornår skal virksomhederne foretage en risikovurdering i henhold til GDPR?
Der skal foretages en risikovurdering i henhold til GDPR, inden virksomheden bl.a.:
- Påbegyndelse af nye behandlingsaktiviteter vedrørende personoplysninger.
- Indføre nye IT-systemer.
- Planlægge nye teknologier.
Bemærk, at virksomhederne også skal foretage en risikovurdering, når de bemærker mangler i deres sikkerhedsforanstaltninger i tilfælde af brud på persondatasikkerheden eller andre uoverensstemmelser.
Trin i en risikovurdering i henhold til GDPR
Typer af personoplysninger
En risikovurdering skal omfatte de typer og kategorier af personoplysninger, som behandlingen vedrører. F.eks. om der er tale om følsomme personoplysninger eller andre personoplysninger, der er følsomme over for privatlivets fred, omfanget af behandlingen, opbevaringsstedet, opbevaringsperioden osv.
Identificere risici
Det andet trin er at identificere de mulige risici ved behandlingen. F.eks. konsekvenserne for registrerede af uautoriseret adgang til personoplysninger.
Sandsynlighed
Selskabet skal derefter analysere sandsynligheden for, at de identificerede risici opstår. Dette sker ofte ved hjælp af en risikomatrice, hvor virksomheden klassificerer risiciene som lave, mellemstore eller høje.
Sikkerhedsforanstaltninger
For at minimere risiciene ved og konsekvenserne af behandlingen af personoplysningerne skal virksomheden gennemføre de fornødne garantier, både tekniske og organisatoriske. F.eks. kryptering af personoplysninger, autentificering i to trin, medarbejderuddannelse osv.
Dokumentere
Risikovurderingen bør dokumenteres skriftligt, således at virksomheden kan påvise, at den overholder GDPR i praksis, som krævet i princippet om ansvarlighed i henhold til artikel 5, stk. 2, i GDPR. Den dokumenterede risikovurdering skal bl.a. omfatte den metode, som virksomheden har anvendt, de risici, der er forbundet med behandlingen, om virksomheden har besluttet at foretage en fuldstændig konsekvensanalyse eller ej osv.
God til regelmæssigt at gennemgå risikovurderinger
Virksomheden bør indføre et system til regelmæssig gennemgang af de risikovurderinger, der foretages. F.eks. ved at overdrage denne opgave til en bestemt medarbejder og planlægge denne opgave i sin kalender. Risiciene kan ændre sig over tid afhængigt af flere faktorer, og det er derfor nyttigt at sikre, at risikovurderingerne holdes ajour over tid.
FLERE OPLYSNINGER
Vurdering af legitim interesse
Virksomhederne skal afveje interesser for at afgøre, om de har en legitim interesse i en bestemt behandling eller ej. Legitim interesse er et af de seks (6) retsgrundlag i GDPR. Registrerede har ret til at gøre indsigelse mod behandling på grundlag af en legitim interesse i henhold til artikel 6, stk. 1, litra f), i GDPR. På den anden side betyder det ikke automatisk, at virksomheden skal indstille behandlingen. I stedet skal virksomheden revurdere, efter at den registrerede har gjort indsigelse, men virksomheden kan konkludere, at der er en legitim interesse, og dermed fortsætte behandlingen.