Datatilsynets modenhedstilsyn: centrale pointer
Datatilsynet har gennemført et spørgeskema-baseret modenhedstilsyn hos 50 kommuner og alle regioner. Resultaterne peger på mangler i sletningsprocedurer, adgangsstyring og håndtering af e-mails med personoplysninger. Selv om tilsynet er rettet mod offentlige myndigheder, kan private organisationer bruge konklusionerne som pejlemærke for GDPR-efterlevelse.
Tilsynet inddrog de 20 tekniske minimumskrav for statslige it-løsninger, som kan anvendes som benchmark på tværs af sektorer, fx krav om firewall på alle klienter og fuld diskkryptering. Se kravene hos Sikker Digital her: Tekniske minimumskrav.
Datatilsynet har udpeget fem nedslag, som bør prioriteres i både offentlige og private organisationer:
- Fastlæg og efterlev klare procedurer for sletning, så opbevaring begrænses til det nødvendige.
- Reducer fejlafsendelser ved forebyggende foranstaltninger som scanning af udgående e-mails.
- Styrk adgangskontrol og løbende overvågning af brugeres adfærd og rettigheder.
- Gennemfør konsekvensanalyser ved høj risiko for de registrerede.
- Opdater og test it-beredskabsplaner for at afdække praktiske svagheder.
Hvad betyder det for private organisationer?
Virksomheder bør kortlægge behandlingsaktiviteter, opdatere slettepolitikker og sikre tekniske og organisatoriske foranstaltninger efter GDPR art. 32. Et gap-analyse-eftersyn mod statens minimumskrav kan styrke sikkerhedsniveau og dokumentation.
Når behandlinger indebærer høj risiko, skal DPIA’er dokumentere nødvendighed og proportionalitet. Endelig bør hændelsesrespons og beredskab testes jævnligt for at sikre robust drift og hurtig håndtering af brud. Datatilsynets kortfattede vejledning findes her: Nedslag i modenhedstilsyn 2022.
