Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny vejledning om behandlingssikkerhed og privacy by design and default

Bird & Bird
09/07/2018
Ny vejledning om behandlingssikkerhed og privacy by design and default
Datatilsynet har netop offentliggjort den længe ventede vejledning om sikkerhed og privacy by design and default.

Datatilsynets nye vejledning giver dataansvarlige og databehandlere retningslinjer for, hvordan der sikres et passende og tilstrækkeligt sikkerhedsniveau både teknisk og organisatorisk, samt at sikkerheden tænkes ind fra starten i bl.a. designet af nye it-systemer.

Vejledningen indeholder en række praktiske råd og konkrete forslag til tiltag, som bør indgå i vurderingen af, hvilke sikkerhedsforanstaltninger, der er tilstrækkelige. Derudover henviser vejledningen til sikkerhedsstandarder, som kan bruges til inspiration, eksempelvis ISO 27001, ISO 29134.

Nedenfor følger en kort gennemgang af vejledningens vigtigste budskaber.

1. ARTIKEL 32 OM BEHANDLINGSSIKKERHED
Databeskyttelsesforordningens artikel 32 handler om, at den dataansvarlige og databehandlere skal sikre et passende sikkerhedsniveau både teknisk og organisatorisk ved behandling af personoplysninger.

1.1 Passende sikkerhedsniveau
Hvad er et passende sikkerhedsniveau? Et passende sikkerhedsniveau afhænger af, hvilke og hvor store risici der er for sikkerhedsbrud og dermed for, at fysiske personers rettigheder og frihedsrettigheder krænkes. Det skal således undersøges, hvilke risici som er forbundet med den behandling, som en dataansvarlig eller databehandler ønsker at foretage.

Vejledningen giver en række praktiske råd og konkrete forslag, som kan anvendes ved vurderingen af, hvad et passende sikkerhedsniveau er.

1.2 Risikovurdering/risikobasseret tilgang
Databeskyttelsesforordningen angiver ikke, hvilke sikkerhedsforanstaltninger der skal iværksættes for at leve op til forordningen. Af vejledningen fremgår det, at der kan søges inspiration hertil i den tidligere sikkerhedsbekendtgørelse udstedt i medfør af Persondataloven.

Vejledningen angiver endvidere, at risikovurderingen skal have særligt fokus på de registrerede og deres rettigheder og frihedsrettigheder.

1.3 Passende tekniske og organisatoriske foranstaltninger
Det følger af artikel 32, at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de konstaterede risici.

Ved at udarbejde en risikoanalyse kan der konstateres risici ved en behandling. Risikoanalysen skal endvidere tage stilling til de identificerede risici og en gennemførelse af de efterfølgende foranstaltninger, som er nødvendige for et tilstrækkeligt sikkerhedsniveau.

Artikel 32, litra a-d indeholder ikke-udtømmende eksempler på foranstaltninger, som kan være relevante at indføre afhængig af behandlingsaktiviteten og de afdækkede risici. Eksemplerne i litra a-d er alle uddybet og yderligere eksemplificeret i vejledningen.

1.4 Hjælpe-guide
Vejledningen indeholder også en praktisk "hjælpe-guide" til, hvordan en vurdering af et passende sikkerhedsniveau kan gribes an:

  1. Identifikation og vurdering af risici

  2. Identifikation af mulige foranstaltninger

  3. Gennemgang af, hvilke kortlagte foranstaltninger der imødegår relevante risici, så et passende sikkerhedsniveau opnås

  4. Implementering af de foranstaltninger, det besluttes at gennemføre


Datatilsynet påpeger dog, at der løbende skal foretages vurdering af, om det tekniske og organisatoriske sikkerhedsniveau er passende.

2. ARTIKEL 25 OM PRIVACY BY DESIGN AND BY DEFAULT
Vejledningen opdeler beskrivelsen af artikel 25 om databeskyttelse gennem design og standardindstillinger i to hovedafsnit.

2.1 Privacy by design
Vejledningen uddyber artikel 25, hvorefter den dataansvarlige skal designe og indrettet sin it-mæssige og organisatoriske håndtering af persondatabehandlinger, så det er muligt at opfylde forordningens krav som en integreret del i hele behandlingsforløbet.

Formålet med privacy by design er, at databeskyttelse tænkes ind allerede i designfasen af et it-system. Det betyder, at fremtidige it-systemer skal designes med henblik på effektiv implementering af databeskyttelsesprincipper, eksempelvis ved anvendelse af Privacy Enhancing Technologies (PETs).

Vejledningen gentager Justitsministeriets udtalelser i betænkningen om databeskyttelsesforordningen om, at ældre og eksisterende systemer som udgangspunkt ikke skal re-designes som følge af artikel 25.

Vejledningen indeholder en række konkrete eksempler på privacy by design, samtidig med at den giver en beskrivelse af bestemmelsens rækkevide, tidsrammen for bestemmelsen, samt hvordan foranstaltningerne ved databeskyttelse gennem design gennemføres.

2.2 Privacy by default
Privacy by default betyder, at den dataansvarlige skal sikre, at det kun er de personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, der bliver behandlet. Formålet er bl.a., at personoplysninger ikke uden den registreredes indgriben stilles til rådighed for et ubegrænset antal personer.

Vejledningen indeholder konkrete eksempler på privacy by default.

Fremtidige it-systemer eller ændringer til eksisterende it-systemers standardindstillinger skal udformes på en sådan måde, at der alene indsamles den datamængde, der er nødvendig, og at omfanget af behandlingen ikke er unødigt stort, samt at opbevaringstiden ikke er for lang.

Vejledningen beskriver afslutningsvis, hvordan overholdelse af et godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som element til at påvise, at kravene til behandlingssikkerhed overholdes.

Læs hele Datatilsynets vejledning

 



 


Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted