Artikel 32 Behandlingssikkerhed sætter rammerne for virksomheders behandling af personoplysninger. Læs med og bliv klogere på området.
Forstå artikel 32 i databeskyttelsesforordningen (GDPR)

Forstå artikel 32 i databeskyttelsesforordningen (GDPR)

Time Reading
5 minutters læsning
GDPR

Databeskyttelsesforordningen, som i folkemunde er kendt som GDPR, indeholder en række bestemmelser og principper i forhold til behandling af personoplysninger. Artikel 32 behandlingssikkerhed sætter retningslinjerne for, hvordan virksomheder kan sikre et passende niveau af datasikkerhed.  

Hvad siger artikel 32?

Uanset om din organisation er dataansvarlig eller databehandler i forbindelse med en databehandling, skal organisationen have behandlingssikkerhed for øje – og det er her, at artikel 32 af GDPR kommer i spil. 

Artiklen kræver, at din organisation implementerer tekniske og organisatoriske foranstaltninger, der er passende for det risikoniveau, som behandlingen af personoplysninger udgør. Samtidig specificerer artiklen, at organisationer skal tage de nødvendige skridt for at sikre, at enhver fysisk person med adgang til persondata ikke behandler dataene undtagen efter instruks fra den dataansvarlige, databehandleren, EU-lovgivningen eller medlemslandenes lovgivning.

Dette er relevant for databeskyttelsen, fordi du – hvis du ikke tager de rette foranstaltninger – risikerer, at personoplysningerne havner i de forkerte hænder. Her kan de blandt andet anvendes til uautoriserede formål, manipuleres eller tilintetgøres til skade for den person, hvis oplysninger du behandler. Derudover kan utilstrækkelig sikkerhed føre til misbrug, adgang for uautoriserede brugere, it-nedbrud og andre faktorer, der kan påvirke organisationen negativt.

Grundstenen i artikel 32 er således at sætte krav til organisationer, der behandler personoplysninger (almindelige såvel som følsomme), så der sikres et sikkerhedsniveau, som forhindrer førnævnte risici.
 
LÆS OGSÅ: Q&A: Få svar på de 5 ofte stillede GDPR-spørgsmål

Risikovurdering som grundlag for sikkerheden

GDPR giver ikke et entydigt svar på, hvad der præcist  kan defineres, som  "passende" foranstaltninger i denne sammenhæng.

 men helt overordnet kræver forordningen, at organisationen vurderer det aktuelle tekniske niveau, implementeringsomkostninger og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risikoen for, at der sker et sikkerhedsbrud samt eventuelle konsekvenser heraf.

Konkret kan du med fordel analysere og beskrive, om der er risiko for eksempelvis:

  • hændelig eller ulovlig tilintetgørelse, tab eller ændring af personoplysninger
  • uautoriseret videregivelse af eller adgang til personoplysninger, der kan føre til fysisk, materiel eller immateriel skade.

Derudover er det vigtigt at definere, om der er tale om almindelige personoplysninger (mindst sensitive) eller følsomme personoplysninger (mest sensitive), samt hvordan de pågældende personer påvirkes af et eventuelt brud på sikkerheden, da dette spiller en væsentlig rolle ift. omfanget af behandlingssikkerhed. Jo mere sensitive personoplysningerne er, desto større sikkerhed skal der være. På samme måde er sandsynligheden for, at risikoen indtræffer relevant for omfanget af sikkerhedsforanstaltningerne – fx kan store mængder data give et potentielt større udbytte for en eventuel hacker, hvorfor sandsynligheden for at det sker, også er større. 

Hvordan etableres passende foranstaltninger?

I praksis skal organisationen vurdere de risici, en behandling af personoplysninger indebærer, og herefter skal der etableres passende foranstaltninger for at forebygge, at risikoen bliver virkelig. I denne sammenhæng er en risiko defineret som en given trussel, dennes indvirkning på den fysiske persons rettigheder og sandsynligheden for, at truslen realiseres.

Datatilsynet giver blandt andet følgende eksempler på trusler:

  • phishing
  • spear phishing
  • malware
  • ransomware
  • tab af krypteringsnøgle
  • utilstrækkelig kryptering
  • tab af backup
  • manglende procedure for genoprettelse
  • uvedkommende adgang
  • manglende intern viden om håndtering af persondata, it-systemer etc.

Når sikkerhedsforanstaltningerne skal iværksættes, er det essentielt at huske, at der ikke kun er tale om uvedkommende ekstern adgang til oplysningerne, men også uvedkommende intern adgang. Her er det vigtigt, at kun de medarbejdere, der reelt har behov for at have adgang til oplysningerne, rent faktisk kan tilgå dem.

Behandler du både almindelige og følsomme personoplysninger, skal du være opmærksom på, at det er de følsomme personoplysninger, der sætter barren for sikkerhedsforanstaltningerne. 

Bliv GDPR-compliant

Selv om det efterhånden er mange år siden, GDPR så dagens lys, oplever mange virksomheder stadig udfordringer med både lovgivningen og dokumentationen.

Datatilsynet foreslår blandt andet antivirus, firewall, kryptering, logging, anonymisering, sårbarhedsscanning, multifaktorautentifikation og netværkssegmentering som tekniske foranstaltninger, der kan tages i forbindelse med behandlingssikkerhed, mens it-sikkerhedspolitikker, ISMS og risikovurderinger påpeges på den organisatoriske side.
Men hvordan ved du – særligt hvis du sidder ene mand eller kvinde med ansvaret for GDPR – om I lever op til kravene i artikel 32?

Det gør du ikke nødvendigvis, og derfor lyder anbefalingen også på at finde et softwaresystem, der kan understøtte håndteringen af GDPR. På den måde bliver arbejdet struktureret, der kommer klare retningslinjer for håndteringen af personoplysninger, og alle aktiviteter i den forbindelse kan strømlines og logges, så det bliver lettere at dokumentere.
 
LÆS OGSÅ: Sådan overtaler du din chef til at investere i GDPR-software

Logo