Databeskyttelsesforordningen har øget fokus på behandling af persondata, men hvordan vurderes det, om en virksomhed behandler persondata på et passende sikkerhedsniveau og hvad er et passende niveau? Det har Datatilsynet udsendt en vejledning om.
Undgå dyr overimplementering
Virksomheder behandler data forskelligt. Derfor vil et generelt svar på hvilke sikkerhedsforanstaltninger, virksomheden skal indføre, medføre en dyr overimplementering for de flestes vedkommende.
– Databeskyttelsesforordningen arbejder med risikovurderinger eller ”risikobaseret tilgang” til dataopbevaring. Det betyder, at det er virksomheden selv, som i første omgang skal vurdere, hvad der er tilstrækkeligt, ud fra hvilke data virksomheden behandler og hvordan dens ”trusselsbillede” er, fortæller advokatfuldmægtig Henrik Norup og uddyber
– ”Trussel” skal i denne kontekst forstås bredere end hackerangreb og lignende. Det skal tillige forstås som hændelige tab af data, som kan medføre gener for de registrerede.
Det er derfor ikke tilstrækkeligt alene at undersøge omverdenens forsøg på at opsnappe virksomhedens data, men man skal også forholde sig til virksomhedens interne procedurer, og ud fra det samlede billede vurdere, hvor der skal indføres ændringer.
Hvordan opnår man et passende sikkerhedsniveau?
Når man i virksomheden har konstateret hvilke risici, der er ved databehandlingen, kan man indføre tekniske ændringer eller ændre sine forretningsgange, således at der opnås et ”passende sikkerhedsniveau”. Tekniske ændringer kan være alt fra en opdateret antivirus til Mobile Device Management, hvorimod ændring af forretningsgange eksempelvis kan være træning og uddannelse af medarbejdere, der arbejder med persondata osv.
– Erfaringsmæssigt har alle virksomheder et sted, hvor persondata-skoen trykker, men det er langt fra ensbetydende med, at man skal investere i nye store IT-systemer. Klare procedurer og mindre opdateringer kan ofte også gøre det, afslutter advokatfuldmægtig Henrik Norup.
Har du spørgsmål til databeskyttelse?
Hvis din virksomhed har spørgsmål eller brug for rådgivning i forbindelse med databeskyttelse, er I velkomne til at rette henvendelse til advokatfuldmægtig Henrik Norup på mail: hen@penta.dk eller telefon: 76 32 44 06 og få et uforpligtende svar på, hvordan han kan hjælpe jer med opgaven.
