GDPR
Risikovurdering i henhold til GDPR
Bedrifter må gjennomføre en risikovurdering i samsvar med GDPR før de starter en ny behandling av personopplysninger, innfører nye IT-systemer eller planlegger ny teknologi som behandler personopplysninger.
Risikovurderinger: Ta utgangspunkt i datasubjektenes perspektiv
Når selskapet foretar en risikovurdering, bør det ta hensyn til risikoen ved behandlingen for de registrerte, ikke risikoen for selskapet. Med andre ord, start fra datasubjektenes perspektiv.
For eksempel kan behandling av personopplysninger føre til diskriminering av registrerte eller økonomisk tap for registrerte.
Når må virksomheter gjennomføre en risikovurdering i henhold til GDPR?
En risikovurdering i henhold til GDPR må utføres før selskapet, blant annet:
- Starte ny behandling av personopplysninger.
- Innføring av nye IT-systemer.
- Planlegge nye teknologier.
Vær oppmerksom på at selskaper også skal foreta en risikovurdering når de oppdager mangler i sine sikkerhetstiltak ved brudd på personopplysningssikkerheten eller andre avvik.
Fremgangsmåte for risikovurdering i henhold til GDPR
Typer av personopplysninger
En risikovurdering skal omfatte de typer og kategorier av personopplysninger som behandlingen gjelder. For eksempel, om det er sensitive personopplysninger, eller andre personvernsensitive personopplysninger, omfanget av behandlingen, lagringsstedet, oppbevaringsperioden, etc.
Identifisere risikoer
Det andre trinnet er å identifisere mulige risikoer ved behandlingen. For eksempel konsekvensene for de registrerte av uautorisert tilgang til personopplysninger.
Sannsynlighet
Foretaket skal deretter analysere sannsynligheten for at de identifiserte risikoene oppstår. Dette gjøres ofte gjennom en risikomatrise, hvor selskapet klassifiserer risikoen som lav, middels eller høy.
Sikringsinnretninger
For å minimere risikoene og konsekvensene ved behandling av personopplysninger skal foretaket iverksette egnede garantier, både tekniske og organisatoriske. For eksempel kryptering av personopplysninger, to-trinns autentisering, opplæring av ansatte, etc.
Dokumentasjon
Risikovurderingen skal dokumenteres skriftlig, slik at selskapet kan vise at det overholder GDPR i praksis, slik det kreves av prinsippet om ansvarlighet i henhold til artikkel 5 (2) GDPR. Den dokumenterte risikovurderingen skal blant annet omfatte metoden som benyttes av foretaket, risikoene som er forbundet med behandlingen, om foretaket har besluttet å gjennomføre en fullstendig konsekvensanalyse eller ikke osv.
God å gjennomgå risikovurderinger regelmessig
Foretaket bør innføre et system for regelmessig å gjennomgå de risikovurderingene som er foretatt. For eksempel ved å tilordne denne oppgaven til en bestemt medarbeider og planlegge denne oppgaven i hans eller hennes kalender. Risiko kan endres over tid avhengig av flere faktorer, og det er derfor nyttig å sikre at risikovurderinger holdes oppdatert over tid.
Mer informasjon
Berettiget vurdering av renter
Bedrifter må veie opp interesser for å avgjøre om de har en legitim interesse for en bestemt behandling eller ikke. Legitime interesser er en av de seks (6) rettslige grunnlagene i GDPR. De registrerte har rett til å protestere mot behandling på grunnlag av en legitim interesse i henhold til artikkel 6 (1) (f) GDPR. På den annen side betyr det ikke automatisk at virksomheten må avslutte behandlingen. I stedet må selskapet revurdere etter at den registrerte har reist innsigelse, men selskapet kan konkludere med at det er en legitim interesse og dermed fortsette behandlingen.