Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny sikkerhedsvejledning fra Datatilsynet

Bech-Bruun
09/07/2018
Persondata
Ny sikkerhedsvejledning fra Datatilsynet
I en ny ”sikkerhedsvejledning” ser Datatilsynet sammen med Justitsministeriet og Digitaliseringsstyrelsen nærmere på kravet om behandlingsskikkerhed og kravene om databeskyttelse gennem design og standardindstillinger.

Datatilsynet offentliggjorde 29. juni 2018 den længe ventede vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.

Vejledningen kommer i forlængelse af, at sikkerhedsbekendtgørelsen med tilhørende vejledning bortfaldt sammen med persondataloven den 25. maj 2018.

I modsætning til sikkerhedsbekendtgørelsen, som var rettet mod offentlige myndigheder, er den nye vejledning rettet mod både private virksomheder og offentlige myndigheder.

Vi har i det følgende udvalgt fire interessante nedslag i vejledningen.


Krav til behandlingssikkerhed

I vejledningens første del findes bl.a. en beskrivelse af, hvordan dataansvarlige eller databehandlere skal vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som fx kryptering.

Det fremgår, at data klassificeres som almindelige personoplysninger (mindst sensitive) og følsomme personoplysninger (mest sensitive).

Generelt kan man sige, at beskyttelsesbehovet er større, des mere sensitive personoplysninger, der behandles. Herudover afhænger beskyttelsesbehovet af yderligere omstændigheder, herunder risicienes varierende sandsynlighed.

Det kan udledes af vejledningens eksempler, at myndighederne bag vejledningen også tillægger det betydning, om oplysningerne er ”fortrolige”. Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor der er særlige beskyttelsesbehov.

Fortrolige oplysninger er bl.a.: Oplysninger, som er særligt følsomme (fx helbredsoplysninger), strafbare forhold, cpr-numre og de mest private af de såkaldt almindelige oplysninger om fx privatøkonomi, sociale eller familiemæssige problemer, skatteforhold, eksamenskarakterer og lignende.


Kryptering i forbindelse med e-mails

Vejledningen beskriver brugen af foranstaltningerne pseudonymisering og kryptering. Her fremgår bl.a.:

”Det vil fortsat være sådan, at du ikke må sende følsomme (og fortrolige) personoplysninger ukrypteret over netværk, som den dataansvarlige ikke har fuld kontrol over, f.eks. ukrypterede e-mail på internettet. I disse situationer skal du således anvende en sikker løsning, herunder f.eks. Digital Post eller bruge en forbindelse, der krypterer det overførte indhold under hele transporten.”

I forhold til den offentlige sektor svarer dette i vidt omfang til Datatilsynets praksis under persondataloven.

For den private sektor vil det  være en skærpelse, hvis Datatilsynet – som det tilsyneladende er tilfældet – ikke længere vil acceptere, at følsomme (og fortrolige) personoplysninger sendes ukrypteret i e-mail på internettet.


Vejledning om risikoanalyse

Vejledningen beskriver bl.a. den risikobaserede tilgang, som er kommet i fokus med databeskyttelsesforordningen.

Vejledningen indeholder her en vigtig pointe: De risikovurderinger, der hidtil  er foretaget, er ikke nødvendigvis dækkende i forhold til forordningens risikobaserede tilgang, idet risici kan handle om mange ting. Forordningen har fx ikke fokus på risici for organisationens aktiver/værdier, men derimod udelukkende fokus på risici for fysiske personers rettigheder og frihedsrettigheder. Dette indebærer, at andre (eller flere) konsekvenser og sandsynligheder kan komme i spil, når risici vurderes i henhold til forordningen.


Databeskyttelse gennem design og standardindstillinger

Vejledningens anden halvdel handler om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

I forhold til databeskyttelse gennem design fremhæves det, at forordningen ikke kræver, at ældre og allerede eksisterende systemer skal re-designes. Her skal man dog være opmæksom på , at hvis det fx konstateres, at it-systemet ikke opfylder kravene i andre af forordningens bestemmelser – såsom artikel 32 om behandlingssikkerhed eller principperne for behandling af personoplysning i artikel 5 – vil dette kræve, at systemet ændres/tilpasses.


Link til vejledningen

Du finder den nye vejledning fra Datatilsynet, Justitsministeriet og Digitaliseringsstyrelsen på Datatilsynets hjemmeside og via dette link: Vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.



 



Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Bech-Bruun logo
København
Gdanskgade 18
2150 Nordhavn
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Jobbørs
Nyt juridisk team søger kollega
Jurister til Søfartsstyrelsens interne advokatkontor
Jurist til Ankenævnet på Energiområdet
Sikkerhedsstyrelsen søger jurister til sundhedsområdet
Skarp jurist til Forvaltningsjura (Kommunalretsenheden)
Jurist til kontoret for sundhedsstruktur
Jurist til Forbruger Europa
Dygtige jurister til personalejuridiske opgaver
Tilmeld jobagent Se alle jobs
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hør podcast
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Se video
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hør podcast
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
Følg Jurainfo.dk på:
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted
Vilkår for publicering af materiale Privatlivs- og cookiepolitik   |   Ret dit samtykke