Udgivet den af Ole Schmitto

Hvordan laver jeg en Risikovurdering

Med indførelsen af persondataforordningen, er det nu et krav, at man som dataansvarlig skal lave en risikovurdering.

Riskovurderingen bliver grundlaget for hvilke sikkerhedsforanstaltninger, der skal implementeres, og vil også blive brugt i forbindelse med tilsyn af databehandleren.

Jeg tror, at det er et fokus område for Datatilsynets tilsyn, om man som virksomhed har udfærdiget en risikovurdering. Det viser jo om man har taget aktiv stilling til sine data.

Der findes ikke en beskrivelse af hvor detaljeret en sådan risikovurdering skal være. Men jo bedre du har beskrevet udfordringen, og hvordan du har valgt at reducere risikoen, jo bedre står du, hvis der sker et databrud.

Hvem omhandler risikovurderingen?

De fleste har en eller anden form for risikovurdering, hvad enten den er skrevet ned eller ej. De fleste virksomheder har eksempelvis en Firewall, fordi de vurderer, at riskoen er for stor uden. Nogle har valgt at gå struktureret til emnet, ved at implementere ISO27001.

Persondataforordningens risikovurderinger er de registreredes rettigheder og frihedsrettigheder. Der udfærdiges en vurdering af de risici dit firma som dataansvarlig udsætter kunder, medarbejdere og andre samarbejdspartnere for.

Selvom det er en rigtig god ide at have en risiko vurdering set fra virksomhedens synspunkt, så er denne risikovurdering altså set udefra, og med fokus på de personhenførbare data du har som dataansvarlig.

Hvordan laver jeg en risikovurdering:

  1. Først kortlægger jeg alle de steder, hvor der findes data, hvad enten det er digital eller fysisk arkiv. (Første del af GDPR arbejdet, så det har du forhåbentlig allerede gjort)
  2. Risikovurderingen, med udgangspunkt i risikoen for den registrerede, hvor du skal vurdere indenfor:
    1. Fortrolighed
    2. Tilgængelighed
    3. Integritet

Så vurderer man indenfor hvert område Konsekvens for den registrerede, og sandsynligheden for at det sker, og bruger en skala fra 1 til 4, hvor 4 er højst/værst. Alle ganges med hinanden og man får så et resultat.

  • Lav risiko for databrud (grøn)
  • Mellem risiko for databrud (gul)
  • Stor risiko for databrud (rød)

Hvis resultatet bliver gul eller rød, vil jeg altid foreslå at man laver en detaljeret beskrivelse af risikoen, og hvad man agter at gøre for at reducere riskoen. Når man så har lavet tiltag for at reducere riskoen, laves en ny risikovurdering, der skriftligt dokumenterer historikken, så man altid kan se hvor man startede, og hvor man er nu.

Jeg foreslår som regel kunder at købe et abonnement på Lexoforms, et dansk udviklet system, hvor jeg så er tilknyttet som rådgiver på kundens konto. Lexoforms guider og hjælper, og giver kontinuerligt overblik over ens GDPR process. Det giver også overblik over alle systemerne, Databehandler aftaler, kontroller, interne fortegnelser og selvfølgelig risikovurderingen. Og mere kommer til hele tiden.

Når jeg har lavet min riskovurdering, kan jeg lave en pæn risikorapport i PDF, som jeg sender til virksomheden, eller virksomheden henter den selv, og som giver et komplet overblik over virksomhedens risko. Risikovurdering skal også bruges i forbindelse med “tilsyn af Databehandlere”, hvilket er temaet i mit næste nyhedsbrev.

Kontakt mig gerne hvis du er nysgerrig omkring risikovurderinger eller gerne vil drøfte om Lexoforms kan hjælpe dig i din GDPR daglig dag.