Foranstaltning:

Stikprøver i log over brugernes anvendelser af personoplysninger


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Hvis brugere er opmærksomme på, at der føres kontrol med anvendelse af systemerne, kan det måske modvirke misbrug. Anvendt på den rigtige måde er der derfor tale om en forebyggende og evt. også opdagende foranstaltning, som kan mindske sandsynligheden for, at adgangsrettigheder misbruges. Det forudsætter naturligvis, at alle handlinger kan spores til en enkelt fysisk person, hvorfor foranstaltning Undgå unødvendig anvendelse af flerbrugerkonti også er relevant. 

Kontrolforanstaltningen kan være særligt relevant i situationer, hvor adgangsrettigheder ikke kan begrænses særligt meget, og hvor brugere nødvendigvis må have bred adgang til mange personoplysninger som led i deres opgaveløsning, og hvor der derfor kan være en særlig risiko for, at nogen fristes til at anvende deres adgang, uden at det konkret er arbejdsbetinget.

Hvilke tiltag kan overvejes?

Stikprøver i logs gennemføres efter en fast procedure, uden at stikprøvetagningen bliver forudsigelig for brugerne.

Forebyggende effekt forudsætter, at brugerne er bekendt med kontrolforanstaltningen, se nærmere herom i foranstaltningen Awareness.

Det kan være en fordel, at stikprøven vedrører forholdsvis nylig anvendelse, således at brugeren med rimelighed kan forventes at kunne redegøre for sin anvendelse af personoplysninger.

Hvad omfanget af stikprøven bør være, er en konkret vurdering. Hvis det fx er muligt automatisk at frasortere en stor mængde opslag i data som værende arbejdsrelateret (fx grundet et kendt kunde-forhold, arbejdsområde, behandler/patient-relation), så kan stikprøven i de resterende opslag være mere begrænset eller målrettet, end hvis stikprøven skulle dække samtlige opslag.

Overvej behovet for at etablere alarmer (fx baseret på logdata), som automatisk aktiveres ved mistænkelig aktivitet. Dette kan supplere eller erstatte mere tilfældige stikprøver.

Løbende stikprøvekontrol fungerer samtidig som en kontrol af, om der til stadighed logges som forventet, og at logdata gemmes længe nok og kan tolkes med den aktuelle vejledning. Det er altså samtidig en afprøvning af en etableret foranstaltning og dermed omfattet af databeskyttelsesforordningens artikel 32, stk. 1 litra d. Se foranstaltningen Logning af brugernes anvendelser af personoplysninger.

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvordan stikprøvekontrollen skal tilrettelægges, herunder omfang og frekvens. Det skyldes, at risikoen afhænger af, hvilke behandlinger af personoplysninger der sker i forskellige it-systemer, samt hvem og hvor mange der har adgang.

Er der tale om bred adgang, altså hvor brugere har adgang til mange følsomme personoplysninger, og/eller adgang til oplysninger om mange individer, vil stikprøvekontrol hvert halve år ofte være nødvendigt.