Katalog over foranstaltninger

Kataloget er en samling beskrivelser af tekniske og organisatoriske foranstaltninger, som kan være relevante at overveje for at sikre passende sikkerhed, jf. databeskyttelsesforordningens artikel 5 og artikel 32. Vurderingen af, om de enkelte foranstaltninger og beskrevne tiltag er nødvendige, foretages af organisationen ud fra en konkret risikovurdering. Foranstaltningers værdi kan afhænge meget af, hvilke andre foranstaltninger der er etableret, og kataloget er derfor hverken udtømmende eller absolut i forhold til, om der er iværksat det fornødne for at opnå en tilstrækkelig grad af behandlingssikkerhed.

Beskrivelserne af de enkelte foranstaltninger kan læses individuelt, så kataloget kan fungere som et opslagsværk.

Mange foranstaltninger kan implementeres som en del af de funktioner, som understøtter databeskyttelsen i it-systemer generelt og er dermed også relevante ift. forpligtelserne efter forordningens artikel 25 om pligten til at sikre, at databeskyttelse tænkes ind i design og standardindstillinger ved udvikling eller erhvervelse af nye it-systemer eller udvikling/ændring i eksisterende it-systemer.

De anvendte eksempler er i høj grad baseret på Datatilsynets erfaringer fra tilsyn i private og offentlige virksomheder, behandling af brud på persondatasikkerheden anmeldt til Datatilsynet, EDPB’s retningslinjer samt ISO-standarderne 27001 (Dansk Standard DS/ISO/IEC 27001 – Krav til Informationsteknologi – sikkerhedsteknikker – Ledelsessystemer for informationssikkerhed (ISMS)) og 27002.

Foranstaltninger er tiltag, der bevarer og/eller ændrer en risiko. En foranstaltning kan være forebyggende, opdagende, korrigerende eller en kombination af disse. Det er nærmere forklaret i beskrivelsen af hver foranstaltning.

Tekniske foranstaltninger med relevans for rettighedsstyring er fx it-løsninger til brugeradministrering, automatisk kryptering/sletning, automatisk adgangskontrol (log-in), registrering af anvendelser af personoplysninger (logning), fysiske døre og låse.

Organisatoriske foranstaltninger med relevans for rettighedsstyring er fx sikkerhedspolitikker, procedure for jævnlig kontrol af adgangsrettigheder, procedure for inddragelse af adgangsrettigheder ved fritstilling og fratrædelse, opgavefordeling efter kompetencer, uddannelse i korrekt anvendelse af it-løsninger (altså kompetencer), vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger.

I standarder og lærebøger kan foranstaltninger være opdelt i yderligere kategorier, fx "fysiske", "personrelaterede" eller "adfærdsmæssige". Imidlertid beskriver databeskyttelsesforordningen kun kategorierne "tekniske" og "organisatoriske", så eksemplerne herover dækker det hele. Når der står fx "fysiske låse" kan dette betegnes som en fysisk foranstaltning, men også som endnu en teknisk foranstaltning. Uddannelse kan betegnes som en personrelateret eller adfærdsmæssig foranstaltning, men også som endnu en organisatorisk foranstaltning.

Det er ikke afgørende, i hvilken kategori man kan placere en foranstaltning. Det afgørende er, at der er etableret tilstrækkelige foranstaltninger til at sikre et sikkerhedsniveau, som kan beskytte behandlinger af personoplysninger – og forretningen.

For at en firewall skal have en beskyttende effekt, skal der mere til, end indkøb og installation af en software- eller hardware-firewall. En firewall skal opsættes, administreres og holdes opdateret på korrekt vis, og dertil kommer, at en organisation typisk vil have en fordel af flere firewalls, der administreres forskelligt. En foranstaltning, der beskrives som ”Firewall”, vil dermed reelt bestå af mange tiltag – ofte en blanding af noget teknisk og noget organisatorisk. Disse tiltag kunne hver især beskrives som selvstændige foranstaltninger, men for at undgå forvirring kaldes de ”tiltag” i dette katalog.

For hver foranstaltning angives:

• Hvilke risici adresseres?
• Hvilke tiltag kan overvejes?
• Hvornår er foranstaltningen nødvendig?

Under hver foranstaltning finder du også links til konkrete afgørelser, vejledningsmateriale, mv.