Risikovurdering

Risikovurdering

Databeskyttelsesforordningen har et omdrejningspunkt for tilgangen til persondatabeskyttelse der i bred forstand er risikobaseret. Det skal forstås sådan, at den dataansvarlige, allerede før en behandling foretages, skal foretage en kortlægning over risikoen for de registreredes rettigheder og så en afvejning af disse risici i forhold til de forholdsregler der bliver truffet for at beskytte disse rettigheder.

En sådan risiko for en rettighed der er blevet aktuel kunne f.eks. være identitetstyveri, tab af ære og velfærd, men rettighederne dækker meget bredt. En forholdsregel kunne f.eks. være kryptering af kommunikation, kontroller der sikrer at e-mails kun afsendes til den tilsigtede modtager eller lignende.  

Selve risikovurderingen består af flere dele:

  • En kortlægning af alle de risici behandlingen medfører og en kategorisering (scoring, sandsynlighed og alvorlighed) heraf.
  • En vurdering af hvad der er passende tekniske og organisatoriske foranstaltninger, til at sørge for at forordningen overholdes og dette kan dokumenteres.

Vurderingen er relevant i forhold til:

  • Den dataansvarliges ansvar,
  • Databeskyttelse gennem design (se relaterede emner herunder),
  • Behandlingssikkerhed
  • Konsekvensanalyse (DPIA) (se relaterede emner herunder)

Som eksempel på en risikobaseret tilgang, der allerede kendes i dag, kan nævnes informationssikkerhedsstandarden ISO 27001, der er en international standard til styring af informationssikkerhed. Denne standard er valgt som statslig sikkerhedsstandard i Danmark, hvorfor alle statslige myndigheder skal følge den, hvilket har været obligatorisk siden januar 2014, mens alle andre offentlige myndigheder skal følge principperne i den.

Derudover er det relevant at nævne, at standarden kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. COBIT (Control Objective for Information and Related Technology) og ISF Standard of Good Practice for Information Security.

Et andet eksempel på en risikobaseret tilgang, vi også allerede kender i dag, er informationssikkerhedsstandarden ISO 29134, der er en international standard til udarbejdelse af konsekvensanalyser vedrørende databeskyttelse (Data Protection Impact Assesment – DPIA)

Standarden beskriver processen i en række trin, hvoraf et trin f.eks. vedrører identifikation af risici mens et senere trin f.eks. vedrører beslutning om foranstaltninger. Standarden sætter bl.a. fokus på, at behandlingssikkerhed bliver iagttaget og indarbejdet i f.eks. design og implementeringen af it-løsninger.