Behandlingssikkerhed

Behandlingssikkerhed dækker de tekniske og organisatoriske foranstaltninger, du skal implementere for at beskytte persondata mod uautoriseret adgang, tab og ødelæggelse. GDPR artikel 32 stiller krav om et sikkerhedsniveau, der passer til risikoen ved behandlingen.

Tilbage til ordbog

Indholdsfortegnelse

    Hvad er behandlingssikkerhed?

    Behandlingssikkerhed er det samlede sæt af sikkerhedsforanstaltninger, der beskytter persondata under behandling. Det handler om at sikre, at data ikke tilgås af uvedkommende, ikke går tabt, ikke ændres utilsigtet og ikke ødelægges.

    GDPR stiller i artikel 32 krav om, at både dataansvarlige og databehandlere implementerer passende foranstaltninger. Hvad der er "passende" afhænger af en konkret risikovurdering, hvor du tager højde for den aktuelle teknologi, implementeringsomkostninger, behandlingens karakter og den potentielle konsekvens for de registrerede.

    Behandlingssikkerhed er ikke en engangsopgave. Du skal løbende evaluere og opdatere dine foranstaltninger i takt med, at trusselsbilledet og din organisation ændrer sig.

    Kravene i GDPR artikel 32

    Artikel 32 nævner fire konkrete tiltag, der kan indgå i behandlingssikkerheden:

    • Pseudonymisering og kryptering af persondata
    • Fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemerne
    • Rettidig gendannelse af adgang til persondata efter en fysisk eller teknisk hændelse
    • Regelmæssig afprøvning og evaluering af sikkerhedsforanstaltningernes effektivitet

    Listen er ikke udtømmende. Du skal selv vurdere, hvad der er nødvendigt ud fra din konkrete situation. Behandler du følsomme personoplysninger i stor skala, er kravene højere end ved simpel kontaktregistrering.

    Manglende behandlingssikkerhed kan føre til bøder og påbud fra Datatilsynet.

    Tekniske og organisatoriske foranstaltninger

    De tekniske og organisatoriske foranstaltninger (TOF) er kernen i behandlingssikkerhed. De deles typisk op i to kategorier:

    Tekniske foranstaltninger omfatter bl.a.:

    • Kryptering af data i transit og i hvile
    • Adgangskontrol med rollebaserede rettigheder
    • Logning af adgang til og ændringer i systemer
    • Firewalls, antivirussoftware og sikkerhedsopdateringer
    • Backup og disaster recovery

    Organisatoriske foranstaltninger omfatter bl.a.:

    • Sikkerhedspolitikker og retningslinjer
    • Uddannelse og awareness-træning af medarbejdere
    • Procedurer for håndtering af databrud
    • Krav til leverandører via databehandleraftaler
    • Regelmæssige audits og kontroller

    Risikovurdering i praksis

    Udgangspunktet for behandlingssikkerhed er altid en risikovurdering. Du skal vurdere sandsynligheden for og konsekvensen af sikkerhedshændelser for de registrerede.

    Start med at kortlægge dine behandlingsaktiviteter i din fortegnelse. For hver aktivitet vurderer du:

    • Hvilke typer persondata behandles (almindelige vs. følsomme)?
    • Hvor mange registrerede er berørt?
    • Hvad er de potentielle konsekvenser ved et brud?
    • Hvilke trusler er realistiske (hacking, menneskelige fejl, systemsvigt)?

    Ved høj risiko kan en konsekvensanalyse (DPIA) være påkrævet. Din DPO kan hjælpe med at vurdere, hvornår det er nødvendigt.

    Dokumentér din risikovurdering og de valgte foranstaltninger. Det er centralt for at kunne demonstrere compliance ved tilsyn.

    Ofte stillede spørgsmål om behandlingssikkerhed

    Hvad kræver GDPR artikel 32 om behandlingssikkerhed?

    Artikel 32 kræver, at dataansvarlige og databehandlere implementerer passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen. Det omfatter bl.a. pseudonymisering, kryptering, evnen til at sikre fortrolighed, integritet og tilgængelighed samt regelmæssig afprøvning af sikkerhedsforanstaltninger.

    Hvem har ansvaret for behandlingssikkerhed?

    Både den dataansvarlige og databehandleren har et selvstændigt ansvar for behandlingssikkerhed. Den dataansvarlige skal sikre, at databehandleren giver tilstrækkelige garantier for passende sikkerhedsforanstaltninger, og det skal fremgå af databehandleraftalen.

    Hvad er passende sikkerhedsforanstaltninger?

    Der er ingen fast liste. Du skal vurdere det passende niveau ud fra den aktuelle teknologiske udvikling, implementeringsomkostningerne, behandlingens karakter, omfang og formål samt risikoen for de registreredes rettigheder. Jo mere følsomme data, desto stærkere foranstaltninger kræves.

    Skal man dokumentere sin behandlingssikkerhed?

    Ja. Du skal kunne dokumentere, at du har vurderet risikoen og implementeret passende foranstaltninger. Dokumentationen bør indgå i din fortegnelse over behandlingsaktiviteter og kan blive efterspurgt ved tilsyn fra Datatilsynet.

    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl