Datatilsynet har udgivet et samlet katalog over sikkerhedsforanstaltninger, der skal hjælpe dataansvarlige og databehandlere med at etablere et passende sikkerhedsniveau efter GDPR. Kataloget omsætter risikovurderinger til konkrete, anvendelige tiltag og beskriver både situationer, hvor en foranstaltning er relevant, og praktiske skridt til implementering. Samlingen er vejledende og ikke udtømmende, men den giver et operationelt udgangspunkt for at strukturere arbejdet med tekniske og organisatoriske kontroller på tværs af behandlingsaktiviteter.
Risikobaseret efterlevelse
Enhver indsamling, opbevaring, videregivelse, ændring eller sletning af personoplysninger er behandling og skal vurderes efter en risikobaseret tilgang. Valget af foranstaltninger afhænger af arten, omfanget, konteksten og formålene med behandlingen samt sandsynlighed og alvor af mulige konsekvenser.
Kataloget hjælper med at identificere typiske trusler, peger på relevante kontroller og forklarer, hvordan de kan indføres i praksis. Det kan anvendes som opslagsværk for ledelse, sikkerhedsansvarlige og DPO’er, men kræver fortsat, at den enkelte organisation foretager sin egen dokumenterede risikovurdering og supplerer efter behov. Kataloget kan ses hos Datatilsynet her.
Fokus på tekniske foranstaltninger
Tilsynet har konstateret, at mange organisationer overvejende indfører organisatoriske kontroller. Derfor understreges det, at tekniske foranstaltninger ofte er nødvendige for at forebygge, opdage og korrigere sikkerhedsbrud. Skærpet praksis om for eksempel brug af auto-complete i mailprogrammer viser, at visse risici kræver tekniske løsninger.
Eksempler fra kataloget, som mange vil skulle tage stilling til, omfatter blandt andet:
- Flerfaktorautentifikation.
- Rollebaserede adgangsrettigheder.
- Centraliseret rettighedsstyring.
- Logning af brugeres anvendelse af personoplysninger.
- Logning af administratorers handlinger.
- Pseudonymisering eller anonymisering.
- Backup og gendannelsestest.
- Automatisk lukning af inaktive adgange.
- Ændringsstyring ved systemændringer.
Tilsyn og sanktioner
Datatilsynet fører både anmeldte og uanmeldte tilsyn og modtager klager over behandlingssikkerhed. Mangler et passende sikkerhedsniveau, kan tilsynet udtale kritik, meddele påbud eller indstille til bøde. Retlig håndhævelse medvirker til at fastlægge bødeniveau og god praksis.
Et aktuelt eksempel er, at en hotelkæde blev idømt en bøde for mangelfuld sletning af kundeprofiler, hvilket understreger betydningen af dokumenterede sletteprocedurer og adgangsstyring. Afgørelsen kan læses hos Østre Landsret her. Organisationer bør derfor gennemgå deres behandlingsaktiviteter, opdatere risikovurderinger og matche kontrollerne med Datatilsynets katalog.
