Pas godt på de personoplysninger du behandler
Som dataansvarlig er du forpligtet til at vurdere de risici, som en behandling af personoplysninger indebærer, og gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger, der kan begrænse disse risici.
Risikovurdering
For de personoplysninger virksomheden behandler skal du vurdere sandsynligheden for
- hændelig eller ulovlig tilintetgørelse
- tab,
- ændring,
- uautoriseret videregivelse af eller adgang til personoplysninger,
og konsekvensen for den/de registrerede hvis det skulle ske.
Hvis du kun behandler almindelige personoplysninger, er der typisk lavere konsekvens for de registrerede, end hvis du behandler følsomme oplysninger. Uanset oplysningernes art skal vurderingen foretages.
Sikkerhedsforanstaltninger
Med udgangspunkt i risikovurderingen skal du indføre et passene sikkerhedsniveau i virksomheden. Det kan være tekniske og organisatoriske foranstaltninger:
Tekniske sikkerhedsforanstaltninger er fx brug af passwords, kryptering af e-mails, antivirus, phishingfiltre, firewall, løbende opdateringer af software, logging af behandlingsaktiviteter, sårbarhedsskanning og penetrationstests, pseudonymisering/anonymisering, back-up, mobile device management (systemer der kan sikre og gennemtvinge sikkerhedspolitikker på mobile enheder), videoovervågning, adgangskontrol.
Organisatoriske sikkerhedsforanstaltninger er fx procedurer og retningslinjer til medarbejdere ved behandling af personoplysninger både i elektronisk og fysisk form. Det kan fx være uddannelse af medarbejderne i databeskyttelse, herunder korrekt og sikker behandling af personoplysninger, tildeling af adgangsrettigheder til bestemte personoplysninger.
Trafikstyrelsens decentrale cyber- og informationsenhed (DCIS) har udarbejdet et værktøj som transportvirksomheder og andre organisationer kan anvende til at gennemføre risiko- og sårbarhedsvurderinger. Læs mere på Trafikstyrelsens hjemmeside.
Skabeloner til download
ITD: Risikovurderinger og sikkerhedsforanstaltninger (excel)
ITD gør opmærksom på, at der i skabelonerne er tale om generelle tekster, som skal udfyldes og tilpasses den enkelte virksomhed. Det gøres endvidere opmærksom på, at ovenstående dokumenter ikke kan træde i stedet for individuel rådgivning, og ITD fraskriver sig ethvert ansvar for eventuelle tab herunder eventuelle bøder, der måtte opstå som følge af handlinger, som et ITD-medlem eller tredjemand har foretaget i tillid til informationer givet på ITD’s hjemmeside.
