GDPR
Utføre en risikovurdering når det oppstår et brudd på personopplysningssikkerheten
Foretakene skal foreta en risikovurdering når det oppstår et brudd på personopplysningssikkerheten. Et brudd på personopplysninger er et sikkerhetsbrudd som involverer uautorisert tilgang, endring eller ødeleggelse av personopplysninger. Ved å gjennomføre en risikovurdering kan selskapet vurdere hvilke tiltak de må ta for å minimere risikoene og konsekvensene av bruddet på personopplysninger som skjedde.
Foretakene skal foreta en risikovurdering når det oppstår et brudd på personopplysningssikkerheten
Nedenfor finner du noen elementer som selskaper bør ta hensyn til når de utfører risikovurderingen:
Arten av bruddet på personopplysningssikkerheten
Avhengig av type hendelse kan konsekvensene variere. I verste fall vil dette få store konsekvenser. For eksempel, hvis et kredittkortnummer eller passfoto lekker og det er identitetstyveri, svindel eller lignende. I mange tilfeller er det også verre når personopplysninger er en kombinasjon av forskjellige typer, noe som er godt å ta hensyn til.
Personopplysningers art og følsomhet
Jo viktigere personopplysninger er, desto større er risikoen for å påvirke de registrertes rettigheter og friheter. Derfor er det viktig å analysere betydningen av personopplysningene som er gjenstand for bruddet på personopplysningssikkerheten. GDPR inneholder fire kategorier av personvernsensitive personopplysninger, hvorav den ene er sensitive personopplysninger som reguleres av artikkel 9 i GDPR.
Enkel identifisering av registrerte
Et dataelement som kan knyttes til en fysisk levende person, er et personopplysningselement. Koblingen kan være direkte eller indirekte i kombinasjon med andre oppgaver. Det er viktig å analysere hvor enkelt det er å identifisere de registrerte gjennom personopplysningene som omfattes av hendelsen, når risikovurderingen skal gjennomføres. Dette er nødvendig for å analysere mulige konsekvenser av hendelsen.
Hvis et selskap har krypterte personopplysninger og noen uautoriserte har tilgang til en del av de krypterte dataene, men ikke kan lese dem uten de andre delene, kan dette være mindre alvorlig da risikoen for misbruk er lavere.
Konsekvenser av et brudd på personopplysningssikkerheten for de registrerte
Det er viktig å analysere hvilken innvirkning bruddet på personopplysningssikkerheten kan ha på de registrerte. I tillegg er det nyttig å analysere hvordan det er mulig å minimere risiko.
Risikoer kan for eksempel minimeres ved å informere de registrerte, slik at de kan iverksette tiltak. I tillegg skal selskapene treffe egne egnede tiltak for å redusere risikoen mest mulig.
Hvis det er kjent at kriminelle har fått tilgang til dataene, er det en høyere risiko for at det vil bli misbrukt.
Typer av registranter
Det er viktig å analysere hvilke typer registrerte som er berørt av et brudd på personopplysningssikkerheten. For eksempel er barn og syke bedre beskyttet fordi de fortjener ekstra beskyttelse. Derfor kan det være mer alvorlig hvis bruddet på personopplysninger gjelder deres personopplysninger.
Avhengig av hvilken type selskap kontrolleren opererer, er risikoen forskjellig. Hvis en medisinsk klinikk lider av et datainnbrudd der sensitive personopplysninger om helsemessige forhold lekkes, er dette en mer alvorlig hendelse enn hvis for eksempel informasjon om abonnentene til en filmtjeneste lekkes.
Antall registrerte og antall personopplysninger
I tillegg er det viktig å analysere mengden av registrerte og personopplysninger som er gjenstand for brudd på personopplysningssikkerheten.
Mer informasjon om GDPR
Dokumentasjon i tilfelle brudd på personopplysningssikkerheten
Bedrifter må alltid dokumentere eventuelle brudd på personopplysninger som oppstår. I dokumentasjonen skal foretaket begrunne sitt standpunkt og blant annet beskrive hva som har skjedd. I tillegg er det nyttig for bedrifter å etablere prosedyrer for sine ansatte som angir hvordan de skal handle i tilfelle brudd på personopplysninger. Dette er nyttig for å gjøre det mulig for ansatte å håndtere brudd på personopplysninger raskt og effektivt og minimere risikoen.