Gå til hovedindhold

Mit virk >

Behandlingssikkerhed

Niveauet for behandlingssikkerhed er afhængig af risikoen for den registreredes rettigheder.

Krav til behandlingssikkerhed for dataansvarlige og databehandlere

Som virksomhed har I ansvaret for at etablere et sikkerhedsniveau, der passer til de risici for de registreredes rettigheder, der er forbundet med at behandle personoplysninger.

Derfor skal I foretage en risikovurdering for at fastlægge det rette sikkerhedsniveau.

Hvordan skal I som virksomhed foretage en risikovurdering?

Ved vurderingen af risikoen, kan I navnlig tage hensyn til, om der, for personoplysninger, der er opbevaret, videregivet eller på anden måde behandlet - er risiko for:

  • hændelig eller ulovlig tilintetgørelse,
  • tab,
  • ændring,
  • uautoriseret videregivelse af eller adgang.

En risikobaseret tilgang til sikkerhed kendes f.eks. fra informationssikkerhedsstandarden ISO 27001, der beskriver krav, som skal sikre en risikobaseret, effektiv og fleksibel styring af sikkerheden.

I kan som virksomhed ikke anvende standarden direkte, man alene lade jer inspirere af tilgangen. Dette skyldes, at standarden ikke vedrører risici for registreredes rettigheder.

I har udarbejdet en risikovurdering – nu skal I gennemføre et sikkerhedsniveau i jeres virksomhed

Når risikovurderingen er udarbejdet, skal I som virksomhed etablere sikkerhedsniveauet, som passer til de identificerede risici.

Måden hvorpå I som virksomhed etablerer det passende sikkerhedsniveau er, at I gennemfører tekniske og organisatoriske sikkerhedsforanstaltninger i jeres virksomhed.

En teknisk sikkerhedsforanstaltning kan f.eks. være brug af password for at få adgang til et system, kryptering, etablering af bruger-ID, kontrol med hacking m.fl. En organisatorisk sikkerhedsforanstaltning kan f.eks. være uddannelse af medarbejdere i databeskyttelse, etablering af forskellige autorisationsniveauer for adgang til et system, revisionsprocedurer m.fl.

Det er som udgangspunkt op til jer selv at vurdere, hvilke foranstaltninger, der skal gennemføres i jeres virksomhed. Ved vurderingen skal I dog lægge vægt på:

  • Det aktuelle tekniske niveau.
  • Implementeringsomkostningerne.
  • Behandlingens karakter, omfang, sammenhæng og formål.
  • De sandsynlige risici for den registreredes rettigheder og frihedsrettigheder.

I kan læse mere om mulige sikkerhedsforanstaltninger i de underliggende artikler.

Print Facebook LinkedIn Twitter Mail Facebook LinkedIn Twitter Mail Hvis du deler indholdet, vil udbyderen af servicen sætte en eller flere cookies på din computer.