For den rette forståelse af denne tekst, og de vejledninger, der henvises til, er det vigtigt, at forstå begrebet ”risiko”, idet det ofte anvendes forkert i daglig tale. Risiko er muligheden for et negativt resultat; mulighed for skade, tab, fare eller lignende. Det er altså tale om et negativt resultat eller udfald, som kan ske. Der er en sandsynlighed for, at det negative sker – og hvis det sker, har det en vis konsekvens/alvor. Risikoens størrelse bestemmes af forholdet mellem denne sandsynlighed og konsekvens.
Der er – efter databeskyttelsesforordningen – ingen konkrete krav til metode eller modeller, som anvendes til risikovurderingen. Datatilsynet har dog udarbejdet en skabelon, der kan benyttes, til den risikovurdering/konsekvensanalyse, der skal laves efter artikel 36. Skabelonen er nævnt nedenfor.
Databeskyttelsesforordningens krav om en risikobaseret tilgang ses i flere af forordningens artikler, og der findes forskellige vejledninger, som kan hjælpe med vurderingen af dels størrelsen af risici, hvorvidt risici overskrider en bestemt grænse, samt hvordan man nedbringer risici. Derfor er nedenstående opdelt efter de artikler i forordningen, som nævner vurdering af risici.
Artikel 25 (databeskyttelse gennem design og gennem standardindstillinger)
Denne artikel handler ikke om risikovurderinger, men om hvordan behandlingssikkerhed skal indarbejdes i design og standardindstillinger, fx ved udvikling af et nyt system. Forudsætningen for at man kan gøre det, er imidlertid, at man har undersøgt risici først.
Her ses en kort forklaring og vejledninger om artiklen.
Foranstaltningskataloget indeholder visse foranstaltninger, som til dels handler om dette, især Ændringsstyring (Change Management) og Softwaretest med fokus på sikkerhed. Mange andre foranstaltninger henviser til det indirekte, fordi foranstaltningens implementering forudsætter, at en bestemt funktionalitet er en del af designet af noget software.
Artikel 5. stk. 1. litra f (grundprincip om sikring af de behandlede personoplysningers integritet og fortrolighed)
Artikel 32 (behandlingssikkerhed)
Artikel 24 (den dataansvarliges ansvar)
Artikel 5 og 32 handler om risici ved alle planlagte og eksisterende behandlinger af personoplysninger. Risikovurderingen angår derfor samtlige registrerede og alle personoplysninger. En stor del af en sådan risikovurdering vil handle om sandsynligheder for, at databehandlingen kan ende i et sikkerhedsbrud samt konsekvenser for berørte registrerede, hvis et brud finder sted. Risikovurderingen tager normalt udgangspunkt i lister over generiske scenarier for, hvad man kan forestille sig kan gå galt.
Risikovurderingen efter artikel 32 skal vise, om man har etableret tilstrækkelige foranstaltninger til at håndtere disse risici. Visse foranstaltninger skal sikre, at den dataansvarlige kan påvise, at forordningen overholdes, jf. artikel 24, og dette ligeledes på baggrund af en risikovurdering af alle databehandlinger. Både artikel 24 og 5, stk. 2 fastslår således et krav om at kunne påvise overholdelse af de databeskyttelsesretlige regler.
Hjælp til risikohåndtering: Foranstaltningskataloget beskriver, hvordan hver af de listede foranstaltninger håndterer/påvirker konkrete risici.
På siden Konsekvensanalyse findes værktøjer til risikovurdering, der viser, om en konsekvensanalyse skal gennemføres.
Her findes de generiske og typiske sikkerhedsbrud, som man kan inddrage i sin risikovurdering: De 10 brud.
Artikel 33 (anmeldelse af brud på persondatasikkerheden)
Artikel 34 (underretning til registrerede ved brud på persondatasikkerheden)
I artikel 33 og 34 handler det om at vurdere risici ved et konkret sikkerhedsbrud, og derigennem finde ud af, om bruddet skal anmeldes til Datatilsynet og hvorvidt de berørte registrerede skal underrettes om bruddet.
I modsætning til en risikovurdering under artikel 32, skal man ved artikel 33 og 34 kun vurdere på de registrerede og personoplysninger, som faktisk er blevet berørt af bruddet.
Man vurderer på scenarier for, hvad der kan ske med de pågældende personoplysninger, nu da bruddet har kompromitteret oplysningernes fortrolighed, integritet eller tilgængelighed. Idet der er tale om en databehandling, som er ”kommet ud af kontrol”, skal vurderingen ofte se på de meget langsigtede risici, fx hvis uvedkommende har haft adgang til data, og disse data kan blive misbrugt flere år ude i fremtiden.
På siden Håndtering af brud på persondatasikkerheden finder du vejledninger, der giver eksempler på denne type risikovurdering samt scenarier, der viser, hvornår der skal ske anmelde af brud til Datatilsynet og underretning af berørte registrerede.
Artikel 35 (konsekvensanalyser/DPIA)
På siden Konsekvensanalyse findes vejledninger om artiklen, men også værktøjer til risikovurdering, der viser, om en konsekvensanalyse skal gennemføres.
Artikel 39 (DPO'ens tilrettelæggelse af sine opgaver)
Databeskyttelsesrådgiveren (Data Protection Officer) skal i sit arbejde tage hensyn til risici ved databehandlingerne. Du kan læse om DPO'ens opgaver og meget mere her.