GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

ORGANISATISKE SIKKERHEDSFORANSTALTNINGER

Klassificering af oplysninger

En organisatorisk sikkerhedsforanstaltning, der kan være passende at tage, er informationsklassifikation. 

Informationsklassifikation er en organisatorisk sikkerhedsforanstaltning

Informationsklassifikation handler om at opdele informationerne i forskellige sikkerhedsklasser. Dette gør det lettere at træffe præcise beslutninger om, hvilke foranstaltninger virksomheden skal træffe for at beskytte de forskellige personoplysninger.

Udgangspunktet er, at jo vigtigere personoplysninger er, jo højere er sikkerhedskravene. 

What breaches of the GDPR can lead to an administrative fine?

Kravene til passende sikkerhedsforanstaltninger er reguleret i artikel 32 i GDPR

Det grundlæggende princip om databeskyttelse, privatlivets fred og fortrolighed kræver, at virksomhederne træffer passende tekniske og organisatoriske foranstaltninger for at beskytte de personoplysninger, de behandler. Ansvarsprincippet betyder, at virksomheder skal kunne påvise, at de overholder GDPR, og en skriftlig klassificering af oplysninger kan derfor være hensigtsmæssig. 

Hvorfor kan informationsklassifikation være god?

Der er flere fordele ved klassificering af oplysninger. Virksomheden kan gøre det lettere at identificere, hvilke personoplysninger der er mest beskyttelsesværdige. Ikke alle oplysninger er lige følsomme, og at behandle alt på samme måde kan f.eks. føre til overdreven sikkerhed, der kan være unødvendigt dyrt. Det gør det også lettere at dirigere ressourcerne derhen, hvor der er mest brug for dem, og bestemme adgangsniveauerne. 

Informationsklassifikation kan blandt andet bidrage til at opfylde følgende krav i GDPR: 

  • Integritet og fortrolighed i overensstemmelse med artikel 5, stk. 1, litra f), i GDPR.
  • Behandlingssikkerhed i henhold til artikel 32 i GDPR.
  • Databeskyttelse gennem design i overensstemmelse med artikel 25 GDPR.
  • Ansvar i henhold til databeskyttelsesforordningens artikel 5, stk. 2.

Opdel oplysningerne i forskellige klasser:

1. Generelle/offentlige oplysninger

Der er personoplysninger, der kan deles offentligt, og det er normalt de mindst følsomme oplysninger. For eksempel profilbilleder af mæglere offentliggjort på agenturets hjemmeside. Det er et erhverv, hvor en sådan offentliggørelse er almindelig i forbindelse med ekstern kommunikation, såsom mæglerbureauets hjemmeside og sociale medier. Tilsvarende gælder for personoplysninger, der er indeholdt i rapporter, som virksomheden offentliggør offentligt eller tjener til myndigheder, der bliver offentlige dokumenter.

What is the definition of anonymised data?

2. Interne oplysninger

Der er oplysninger, der indeholder personoplysninger, som ikke bør formidles uden for virksomheden. F.eks. undervisningsmateriale eller mødenotater.

Subjektivt integritetskänsliga personuppgifter

3. Beskyttede oplysninger

Der er nogle oplysninger, som kun et begrænset antal personer i virksomheden bør have adgang til. For eksempel kunderegistre og lønoplysninger. Bemærk, at det ofte er unødvendigt for alle medarbejdere i en virksomhed at have adgang til alle personoplysninger, der behandles for at udføre deres opgaver. Hvis en arbejdstager ikke har brug for adgang til visse personoplysninger, bør han eller hun heller ikke modtage dem. Derfor er det vigtigt at styre kompetencen blandt medarbejderne i virksomheden.

Sensitive personal data according to GDPR

4. Personoplysninger, der er følsomme over for privatlivets fred

Privatlivsfølsomme personoplysninger kan opdeles i fire grupper. Det drejer sig om 1) personoplysninger vedrørende straffedomme og lovovertrædelser, 2) følsomme personoplysninger, 3) personnumre og 4) subjektivt privatlivsfølsomme personoplysninger. Men kun de to første er specifikt reguleret af GDPR. Det er vigtigt at være omhyggelig med at sikre, at personer, der virkelig ikke behøver at have adgang til disse personoplysninger, ikke har dem. Derudover skal virksomheden anvende høj sikkerhed ved opbevaring af personlige data, der er følsomme over for privatlivets fred.

Measures that companies need to take to comply with GDPR

5. Subjektive personoplysninger, der er følsomme over for privatlivets fred

Subjektivt privatlivsfølsomme personoplysninger udgør også en af de fire grupper af privatlivsfølsomme personoplysninger. Der er dog ingen præcis definition. Kort sagt er personoplysninger, som den registrerede kan føle, privatlivsfølsomme for en anden at behandle, selv om de ikke er følsomme i henhold til artikel 9-10 i GDPR. For eksempel kreditkortnumre, vurderinger og subjektive vurderinger af resultater. Virksomheder behandler dog normalt subjektivt privatlivsfølsomme personoplysninger som grundlag for at dokumentere medarbejdernes præstationer. Dette kan omfatte noter fra udviklingssamtaler.

Subjektivt integritetskänsliga personuppgifter

6. Følsomme personoplysninger

Følsomme personoplysninger udgør også en af de fire grupper af personoplysninger, der er følsomme over for privatlivets fred. Der er specifikke regler i artikel 9 i GDPR om behandling af følsomme personoplysninger. Hovedreglen forbyder behandling af følsomme personoplysninger såsom religiøse overbevisninger, politiske holdninger og sundhedsdata. Der er dog undtagelser. For eksempel behandler virksomheder normalt sygefravær, hvis medarbejderne og det er tilladt. Det er dog ikke tilladt at sende en lønseddel med sygeorlov via ukrypteret e-mail, da det ikke er sikkert nok.

Hvordan kan virksomheder arbejde med informationsklassifikation i praksis?

Identifikation

Start med at identificere de typer af personoplysninger, som virksomheden behandler.

Vurdering

Vurdere betydningen af personoplysninger. Nogle faktorer, der skal tages udgangspunkt i, er risici for privatlivets fred, forretningsrisici, hvilke lovkrav der findes, og hvilke konsekvenser det kan have for de registrerede i tilfælde af uautoriseret adgang.

Klassifikationsniveau

Opdel de forskellige personoplysninger i forskellige beskyttelsesklasser på grundlag af vurderingen.

Dokumentation

Husk at dokumentere informationsklassifikationen for at vise, at virksomheden overholder GDPR i overensstemmelse med princippet om ansvarlighed.

Beskyttelsesforanstaltninger

Jo vigtigere personoplysningerne er, jo bedre sikkerhedsforanstaltninger skal virksomheden tage. Analysere, hvilke personoplysninger der har brug for hvilke sikkerhedsforanstaltninger.

Opfølgning

GDPR er et kontinuerligt arbejde, og det er godt altid at følge op på arbejdet og forsøge at forbedre det over tid.

Mere om GDPR

Interne fortrolighedsaftaler

Det er almindeligt, at virksomheder ønsker at forhindre visse oplysninger i at nå ud til personer uden for virksomheden eller til andre uautoriserede personer i virksomheden. Arbejdsgivere indgår derfor normalt en hemmeligholdelsesaftale eller indføjer en hemmeligholdelsesklausul i ansættelseskontrakten med de ansatte. Det er medarbejderne, der arbejder med GDPR i praksis og ofte behandler personoplysninger som en del af deres opgaver. Interne fortrolighedsaftaler kan være særligt hensigtsmæssige, hvis medarbejderne behandler følsomme personoplysninger. 

Vil du lære mere?

Læs mere
Scroll to Top