GDPR: Tre fejl du let kommer til at lave i din risikovurdering
- og hvordan du undgår dem
Hvis du er ansvarlig for data, kommer du på et tidspunkt i dit arbejde med GDPR, til at sidde med risikovurderinger. Det er nemlig den dataansvarliges opgave at vurdere risici for de data, som indsamles, opbevares og behandles.
Er du i tvivl om du er dataansvarlig, så er der i denne artikel et afsnit, som kort forklarer forskellen mellem dataansvarlig og databehandler.
Risikovurdering er i realiteten et resultat af regnestykket:
(Konsekvensen af et datalæk + sandsynligheden for et datalæk) ÷ de eksisterende foranstaltninger = Risikoen.
Men regnestykket har ikke kun ét facit, og i udregningen er der især tre fejl, som du let kan komme til at lave. Her tager vi dig igennem de tre klassiske fejl i udarbejdningen af risikovurderingen, og hvad du skal gøre for at undgå dem.
Fejl nr. 1: Du vurderer risikoen ud fra konsekvensen for din virksomhed.
Har du vurderet virksomhedens risiko for indstilling til bøder af datatilsynet eller risikoen for dårlig omtale? Det er selvfølgelig overvejelser, der også er gode at gøre sig, men det er ikke det, som risikovurderingen i dit GDPR-arbejdet skal dreje sig om.
Fokus i konsekvensen af et datalæk skal altid være på den registreredes rettigheder – altså de mennesker, du behandler data for. Hvor sandsynligt det er, at noget går galt i opbevaringen og behandlingen af deres oplysninger.
Fejl nr. 2: Du lader sandsynligheden for et misbrug af lækkede oplysninger bestemme om du skal underrette.
Eksempel: Der er sket en menneskelig fejl, og en medarbejder er komme til at sende en e-mail med personoplysninger til den forkerte modtager. Men man tænker ikke, det er sandsynligt at modtageren misbruger oplysningerne, og derfor underrettes datatilsynet ikke om bruddet.
Det bør altid være risikoen som er bestemmende for om du skal underrette. I din vurdering af risikoen skal du tage hensyn til de værst tænkelige konsekvenser for den registrerede, hvis de lækkede oplysninger er blevet tilgået af uvedkommende og misbrugt.
Fejl nr. 3: Du glemmer den største trussel
Hacking og malware fylder meget i medierne, men det er ikke her, du finder den største forekomst af datalæk. Langt de fleste risici foregår i den normale dagligdag, og handler om menneskers håndtering af data.
Det kan være, at man kommer til at sende en e-mail til en forkert modtager, eller at en medarbejder mister sin arbejdstelefon eller glemmer, at man ikke må fortælle naboen om en spændende sag på arbejdet.
Det er også risici og skal medregnes i din risikovurdering.
Derfor er din risikovurdering vigtig at udforme korrekt
Risikovurderingen er en af hjørnestenene til at komme videre med dit GDPR-arbejde. Når du har kontrol over dine databehandleraftaler, hjælper riskovurderingen dig med at stille krav til dine databehandlere. Det er indgangsvinklen til risikovurderingen.
Du får svaret på rigtig mange ting, når du laver din risikovurdering: Har du den fornødne behandlingshjemmel? Er sikkerheden høj nok? Hvor sandsynligt er det, at noget går galt? Du bliver i stand til at lave alle de efterfølgende ting i forordningen.
Har du brug for GDPR-rådgivning, kan du altid kontakte legal advisor, Christian Madsen, direkte på chm@attent.dk eller 40 14 87 87. Du kan også udfylde kontaktformularen herunder.