Ny vejledning om risikovurderinger fra Datatilsynet: Vigtigt at passe godt på de registreredes oplysninger

Illustration: Elnur/Bigstock
Ny vejledning fra Datatilsynet og Rådet for Digital Sikkerhed skal hjælpe virksomheder og organisationer med at få overblik over, om de gør nok for at minimere risici ved behandling af kunders oplysninger.

Virksomheder og organisationer, der behandler personoplysninger på deres kunder, får nu hjælp til at vurdere, om de gør nok for at minimere risikoen for, at der opstår sikkerhedsbrud, som kan gå ud over kundernes data.

Hjælpen kommer i form af en ny vejledning fra Datatilsynet og Rådet for Digital Sikkerhed, og det tolv sider lange dokument er det første i rækken af en serie med konkrete hjælpemidler til de dataansvarlige.

I den nye vejledning bliver virksomheder og organisationer taget i hånden og får hjælp til, hvad de skal gøre og være opmærksomme på, når de indsamler og behandler oplysninger på borgere eller kunder. Målet er ifølge Datatilsynet, at dataansvarlige gennem bedre risikovurderinger skal få grundlaget for sikkerhed databehandling på plads.

»Når man behandler personoplysninger, er det en vigtig forudsætning, at man passer godt på de registreredes oplysninger og iværksætter de passende foranstaltninger, der skal til for at imødegå risici,« siger Allan Frank, jurist og it-sikkerhedskonsulent i Datatilsynet i en pressemeddelse.

Udfordrede dataansvarlige

Hos Rådet for Digital Sikkerhed påpeger formand, Henning Mortensen, at den nye vejledning især kan bruges af de dataansvarlige, som kan føle sig besværet i arbejdet med at finde rundt i de persondataretlige regler.

»Der sker løbende sikkerhedshændelser, og der opstår hele tiden nye sikkerhedshuller, og det skal de dataansvarlige være i stand til at håndtere. Det er vigtigt, at de dataansvarlige, som er udfordret med selv at løfte opgaven med de persondataretlige regler, kan få nogle forholdsvist operationelle råd, således som det sker i denne tekst,« siger han i pressemeddelelsen.

Gamle vurderinger duer ikke

Selv hos de virksomheder, der allerede har arbejdet med risikovurderinger, kan der være behov for den nye vejledning. Ifølge Datatilsynet og Rådet for Digital Sikkerhed har mange organisationers tidligere risikovurderinger haft fokus på virksomhedens bundlinje eller omdømme i tilfælde af et hackerangreb.

Det er ikke meningen med den risikovurdering, som databeskyttelsesforordningen lægger op til, påpeger de myndigheden og rådet, og derfor kan de dataansvarlige heller ikke nøjes med at genbruge tidligere vurderinger.

»Genstanden for databeskyttelsesforordningens risikovurderinger er de registreredes rettigheder og frihedsrettigheder. Der skal altså laves en vurdering af, hvilke risici organisationen som dataansvarlig udsætter kunder, medarbejdere og andre samarbejdspartnere i form af fysiske personer for,« står der i den nye vejledning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Heisterberg

Der er ikke megen substans i Faktaboksen om Risikovurdering.

Måske skulle økonomisk svindel med i samme omgang ?

Hvor er den helt konkrete checkliste, aktionsplan, med de handlinger som skal udføres ?
Med den i hånden kunne en virksomhed eller myndighed jo lave selvkontrol mod en 10-20-30 punkter som minimalt skal opfyldes.

Det er vel ikke sådan, at der er tale om job-beskyttelse for diverse konsulent-firmaer - der lige som advokat-firmaer - sælger rådgivning på timebasis, rådgivning som kunne løses med checklister og robot-løsninger istedet ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize