Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny sikkerhedsvejledning fra Datatilsynet

Bech Bruun
09/07/2018
Ny sikkerhedsvejledning fra Datatilsynet
I en ny ”sikkerhedsvejledning” ser Datatilsynet sammen med Justitsministeriet og Digitaliseringsstyrelsen nærmere på kravet om behandlingsskikkerhed og kravene om databeskyttelse gennem design og standardindstillinger.

Datatilsynet offentliggjorde 29. juni 2018 den længe ventede vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.

Vejledningen kommer i forlængelse af, at sikkerhedsbekendtgørelsen med tilhørende vejledning bortfaldt sammen med persondataloven den 25. maj 2018.

I modsætning til sikkerhedsbekendtgørelsen, som var rettet mod offentlige myndigheder, er den nye vejledning rettet mod både private virksomheder og offentlige myndigheder.

Vi har i det følgende udvalgt fire interessante nedslag i vejledningen.


Krav til behandlingssikkerhed


I vejledningens første del findes bl.a. en beskrivelse af, hvordan dataansvarlige eller databehandlere skal vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som fx kryptering.

Det fremgår, at data klassificeres som almindelige personoplysninger (mindst sensitive) og følsomme personoplysninger (mest sensitive).

Generelt kan man sige, at beskyttelsesbehovet er større, des mere sensitive personoplysninger, der behandles. Herudover afhænger beskyttelsesbehovet af yderligere omstændigheder, herunder risicienes varierende sandsynlighed.

Det kan udledes af vejledningens eksempler, at myndighederne bag vejledningen også tillægger det betydning, om oplysningerne er ”fortrolige”. Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor der er særlige beskyttelsesbehov.

Fortrolige oplysninger er bl.a.: Oplysninger, som er særligt følsomme (fx helbredsoplysninger), strafbare forhold, cpr-numre og de mest private af de såkaldt almindelige oplysninger om fx privatøkonomi, sociale eller familiemæssige problemer, skatteforhold, eksamenskarakterer og lignende.


Kryptering i forbindelse med e-mails


Vejledningen beskriver brugen af foranstaltningerne pseudonymisering og kryptering. Her fremgår bl.a.:

”Det vil fortsat være sådan, at du ikke må sende følsomme (og fortrolige) personoplysninger ukrypteret over netværk, som den dataansvarlige ikke har fuld kontrol over, f.eks. ukrypterede e-mail på internettet. I disse situationer skal du således anvende en sikker løsning, herunder f.eks. Digital Post eller bruge en forbindelse, der krypterer det overførte indhold under hele transporten.”

I forhold til den offentlige sektor svarer dette i vidt omfang til Datatilsynets praksis under persondataloven.

For den private sektor vil det  være en skærpelse, hvis Datatilsynet – som det tilsyneladende er tilfældet – ikke længere vil acceptere, at følsomme (og fortrolige) personoplysninger sendes ukrypteret i e-mail på internettet.


Vejledning om risikoanalyse


Vejledningen beskriver bl.a. den risikobaserede tilgang, som er kommet i fokus med databeskyttelsesforordningen.

Vejledningen indeholder her en vigtig pointe: De risikovurderinger, der hidtil  er foretaget, er ikke nødvendigvis dækkende i forhold til forordningens risikobaserede tilgang, idet risici kan handle om mange ting. Forordningen har fx ikke fokus på risici for organisationens aktiver/værdier, men derimod udelukkende fokus på risici for fysiske personers rettigheder og frihedsrettigheder. Dette indebærer, at andre (eller flere) konsekvenser og sandsynligheder kan komme i spil, når risici vurderes i henhold til forordningen.


Databeskyttelse gennem design og standardindstillinger


Vejledningens anden halvdel handler om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.

I forhold til databeskyttelse gennem design fremhæves det, at forordningen ikke kræver, at ældre og allerede eksisterende systemer skal re-designes. Her skal man dog være opmæksom på , at hvis det fx konstateres, at it-systemet ikke opfylder kravene i andre af forordningens bestemmelser – såsom artikel 32 om behandlingssikkerhed eller principperne for behandling af personoplysning i artikel 5 – vil dette kræve, at systemet ændres/tilpasses.


Link til vejledningen


Du finder den nye vejledning fra Datatilsynet, Justitsministeriet og Digitaliseringsstyrelsen på Datatilsynets hjemmeside og via dette link: Vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.



 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2022 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted