I en ny ”sikkerhedsvejledning” ser Datatilsynet sammen med Justitsministeriet og Digitaliseringsstyrelsen nærmere på kravet om behandlingsskikkerhed og kravene om databeskyttelse gennem design og standardindstillinger.
Datatilsynet offentliggjorde 29. juni 2018 den længe ventede vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.
Vejledningen kommer i forlængelse af, at sikkerhedsbekendtgørelsen med tilhørende vejledning bortfaldt sammen med persondataloven den 25. maj 2018.
I modsætning til sikkerhedsbekendtgørelsen, som var rettet mod offentlige myndigheder, er den nye vejledning rettet mod både private virksomheder og offentlige myndigheder.
Vi har i det følgende udvalgt fire interessante nedslag i vejledningen.
Krav til behandlingssikkerhed
I vejledningens første del findes bl.a. en beskrivelse af, hvordan dataansvarlige eller databehandlere skal vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici, som fx kryptering.
Det fremgår, at data klassificeres som almindelige personoplysninger (mindst sensitive) og følsomme personoplysninger (mest sensitive).
Generelt kan man sige, at beskyttelsesbehovet er større, des mere sensitive personoplysninger, der behandles. Herudover afhænger beskyttelsesbehovet af yderligere omstændigheder, herunder risicienes varierende sandsynlighed.
Det kan udledes af vejledningens eksempler, at myndighederne bag vejledningen også tillægger det betydning, om oplysningerne er ”fortrolige”. Fortrolige oplysninger er en særlig kategori af oplysninger, der ikke nævnes udtrykkeligt i databeskyttelsesreglerne, men hvor der er særlige beskyttelsesbehov.
Fortrolige oplysninger er bl.a.: Oplysninger, som er særligt følsomme (fx helbredsoplysninger), strafbare forhold, cpr-numre og de mest private af de såkaldt almindelige oplysninger om fx privatøkonomi, sociale eller familiemæssige problemer, skatteforhold, eksamenskarakterer og lignende.
Kryptering i forbindelse med e-mails
Vejledningen beskriver brugen af foranstaltningerne pseudonymisering og kryptering. Her fremgår bl.a.:
”Det vil fortsat være sådan, at du ikke må sende følsomme (og fortrolige) personoplysninger ukrypteret over netværk, som den dataansvarlige ikke har fuld kontrol over, f.eks. ukrypterede e-mail på internettet. I disse situationer skal du således anvende en sikker løsning, herunder f.eks. Digital Post eller bruge en forbindelse, der krypterer det overførte indhold under hele transporten.”
I forhold til den offentlige sektor svarer dette i vidt omfang til Datatilsynets praksis under persondataloven.
For den private sektor vil det være en skærpelse, hvis Datatilsynet – som det tilsyneladende er tilfældet – ikke længere vil acceptere, at følsomme (og fortrolige) personoplysninger sendes ukrypteret i e-mail på internettet.
Vejledning om risikoanalyse
Vejledningen beskriver bl.a. den risikobaserede tilgang, som er kommet i fokus med databeskyttelsesforordningen.
Vejledningen indeholder her en vigtig pointe: De risikovurderinger, der hidtil er foretaget, er ikke nødvendigvis dækkende i forhold til forordningens risikobaserede tilgang, idet risici kan handle om mange ting. Forordningen har fx ikke fokus på risici for organisationens aktiver/værdier, men derimod udelukkende fokus på risici for fysiske personers rettigheder og frihedsrettigheder. Dette indebærer, at andre (eller flere) konsekvenser og sandsynligheder kan komme i spil, når risici vurderes i henhold til forordningen.
Databeskyttelse gennem design og standardindstillinger
Vejledningens anden halvdel handler om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger.
I forhold til databeskyttelse gennem design fremhæves det, at forordningen ikke kræver, at ældre og allerede eksisterende systemer skal re-designes. Her skal man dog være opmæksom på , at hvis det fx konstateres, at it-systemet ikke opfylder kravene i andre af forordningens bestemmelser – såsom artikel 32 om behandlingssikkerhed eller principperne for behandling af personoplysning i artikel 5 – vil dette kræve, at systemet ændres/tilpasses.
Link til vejledningen
Du finder den nye vejledning fra Datatilsynet, Justitsministeriet og Digitaliseringsstyrelsen på Datatilsynets hjemmeside og via dette link:
Vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.
-medium.jpg)
-medium.jpg)
