Nu bliver det nemmere at overholde GDPR-lovgivningen

Virksomheder og myndigheder skal sikre at deres behandling af personoplysninger er i overensstemmelse med GDPR-lovgivningen, hvilket betyder, at der skal etableres et passende sikkerhedsniveau. Datatilsynet har offentliggjort et katalog over sikkerhedsforanstaltninger, som virksomheder og myndigheder kan overveje for at sikre et passende sikkerhedsniveau. Indtil nu har der fra Datatilsynets side været en bred tilgang til dette, men kataloget af foranstaltninger skal overskueliggøre identificeringen af risici samt implementeringen af relevante foranstaltninger.

Et effektivt værktøj til databehandling

Hver gang man indsamler, opbevarer, videregiver, ændrer eller sletter en oplysning om en anden person, er der tale om en behandling af personoplysninger der er omfattet af databeskyttelsesreglerne. Reglerne i databeskyttelsesloven tilsiger, at man skal sikre, at der er taget højde for de risici, der er forbundet med den pågældende persondatabehandling. Disse risici kan for eksempel være, at uvedkommende får adgang til oplysningerne, eller at oplysningerne slettes.

Kataloget indeholder en række tiltag, der kan implementeres for at imødekomme de risici, virksomhedernes behandling af personoplysninger, kan medføre. Hver foranstaltning er ledsaget med en uddybning af, hvilke risici der kan nødvendiggøre implementeringen af foranstaltningen, samt hvordan den praktiske implementering af foranstaltningen kan foregå.

Det er erfaringsmæssigt udfordrende for virksomheder og myndigheder at gennemskue, hvilke risici der opstår ved behandling af personoplysninger, og hvordan man hertil iværksætter tiltag der etablerer et passende sikkerhedsniveau.

Datatilsynets katalog af foranstaltninger skal gøre det nemmere at finde ud af, hvilken foranstaltning der er passende, og hvordan denne skal implementeres. Det er tilsigtet, at kataloget skal fungere som et værktøj for virksomheder og deres persondataansvarlige, der kan bruge det som et opslagsværk. Vi bemærker dog, at samlingen af foranstaltninger ikke skal anses for udtømmende, og at virksomheder fortsat må indføre øvrige foranstaltninger, der ikke fremgår af kataloget.

Klik her for at se kataloget af foranstaltninger.

Konkrete foranstaltninger

Foranstaltningerne er udvalgt på baggrund af Datatilsynets erfaringer fra tidligere anmeldte datasikkerhedsbrud, tilsyn hos private og offentlige virksomheder samt af databeskyttelsesregler i øvrigt. Deres formål er rettet mod at forebygge, opdage eller korrigere risikoen ved persondatabehandling, så man enten mindsker eller opretholder status quo for en bestemt sikkerhedsrisiko.

Der er ikke et entydigt svar på, hvilke foranstaltninger der skal implementeres i specifikke behandlingssituationer. Det beror i stedet på en konkret risikovurdering af personbehandlingens stadier.

Fokus på tekniske sikkerhedsforanstaltninger

Datatilsynet har tidligere meddelt, at man ved anmeldte sikkerhedsbrud ser en tendens der viser, at organisationer og virksomheder primært vælger at indføre organisatoriske foranstaltninger. Af den årsag har tilsynet sat fokus på, at tekniske foranstaltninger ligeledes skal overvejes i databeskyttelsesøjemed.

Se for eksempel Datatilsynets nyhed vedrørende brugen af auto-complete i mailprogrammer, hvor praksis skærpes således, at det bliver et krav at have indført tekniske foranstaltninger.

Kataloget af foranstaltninger byder på en række tekniske foranstaltninger, som ikke tidligere er offentliggjort af Datatilsynet. Vi anbefaler derfor, at din virksomhed overvejer de nye tiltag.

De tekniske foranstaltninger der fremgår af kataloget, er følgende:

• Adgangsrettigheder efter behov
• Automatisk lukning af inaktive adgange
• Backup
• Centraliseret rettighedsstyring
• Dataadgang efter behov
• Flerfaktorautentifikation (MFA)
• Funktionsadskillelse
• Logning af brugeradministrators handlinger
• Logning af brugernes anvendelser af personoplysninger
• Pseudonymisering og anonymisering
• Rollebaserede adgangsrettigheder
• Tilpasning af adgangsrettigheder ved ændring af ansættelsesforholdet
• Ændringsstyring (Change Management)

Konsekvensen ved at overtræde GDPR-lovgivningen

Datatilsynet kommer hyppigt på både anmeldte og ikke-anmeldte tilsyn hos virksomheder der fungerer som dataansvarlig eller databehandler. Der modtages tillige klager fra enkeltpersoner, der kan gøre tilsynet opmærksom på en myndigheds eller virksomheds sikkerhedsbrud.

Hvis det viser sig, at der er forhold der giver anledning til at sætte spørgsmålstegn ved, om der er et passende sikkerhedsniveau for den udførte persondatabehandling, kan Datatilsynet udtale kritik, give påbud eller indstille til bøde.

For eksempel blev hotelkæden Arp-Hansen i september 2023 idømt en bøde på 1 mio. kroner for manglende sletning af kundeprofiler i deres arbejdssystem. Sagen anses som principiel, da den bidrager til fastsættelsen af bødeniveauet for private virksomheder.

Læs afgørelsen her.