Ny vejledning om behandlingssikkerhed og privacy by design and default
Datatilsynet har netop offentliggjort den længe ventede vejledning om sikkerhed og privacy by design and default.
Datatilsynets nye vejledning giver dataansvarlige og databehandlere retningslinjer for, hvordan der sikres et passende og tilstrækkeligt sikkerhedsniveau både teknisk og organisatorisk, samt at sikkerheden tænkes ind fra starten i bl.a. designet af nye it-systemer.
Vejledningen indeholder en række praktiske råd og konkrete forslag til tiltag, som bør indgå i vurderingen af, hvilke sikkerhedsforanstaltninger, der er tilstrækkelige. Derudover henviser vejledningen til sikkerhedsstandarder, som kan bruges til inspiration, eksempelvis ISO 27001, ISO 29134.
Nedenfor følger en kort gennemgang af vejledningens vigtigste budskaber.
1. ARTIKEL 32 OM BEHANDLINGSSIKKERHED
Databeskyttelsesforordningens artikel 32 handler om, at den dataansvarlige og databehandlere skal sikre et passende sikkerhedsniveau både teknisk og organisatorisk ved behandling af personoplysninger.
1.1 Passende sikkerhedsniveau
Hvad er et passende sikkerhedsniveau? Et passende sikkerhedsniveau afhænger af, hvilke og hvor store risici der er for sikkerhedsbrud og dermed for, at fysiske personers rettigheder og frihedsrettigheder krænkes. Det skal således undersøges, hvilke risici som er forbundet med den behandling, som en dataansvarlig eller databehandler ønsker at foretage.
Vejledningen giver en række praktiske råd og konkrete forslag, som kan anvendes ved vurderingen af, hvad et passende sikkerhedsniveau er.
1.2 Risikovurdering/risikobasseret tilgang
Databeskyttelsesforordningen angiver ikke, hvilke sikkerhedsforanstaltninger der skal iværksættes for at leve op til forordningen. Af vejledningen fremgår det, at der kan søges inspiration hertil i den tidligere sikkerhedsbekendtgørelse udstedt i medfør af Persondataloven.
Vejledningen angiver endvidere, at risikovurderingen skal have særligt fokus på de registrerede og deres rettigheder og frihedsrettigheder.
1.3 Passende tekniske og organisatoriske foranstaltninger
Det følger af artikel 32, at der skal gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de konstaterede risici.
Ved at udarbejde en risikoanalyse kan der konstateres risici ved en behandling. Risikoanalysen skal endvidere tage stilling til de identificerede risici og en gennemførelse af de efterfølgende foranstaltninger, som er nødvendige for et tilstrækkeligt sikkerhedsniveau.
Artikel 32, litra a-d indeholder ikke-udtømmende eksempler på foranstaltninger, som kan være relevante at indføre afhængig af behandlingsaktiviteten og de afdækkede risici. Eksemplerne i litra a-d er alle uddybet og yderligere eksemplificeret i vejledningen.
1.4 Hjælpe-guide
Vejledningen indeholder også en praktisk "hjælpe-guide" til, hvordan en vurdering af et passende sikkerhedsniveau kan gribes an:
- Identifikation og vurdering af risici
- Identifikation af mulige foranstaltninger
- Gennemgang af, hvilke kortlagte foranstaltninger der imødegår relevante risici, så et passende sikkerhedsniveau opnås
- Implementering af de foranstaltninger, det besluttes at gennemføre
Datatilsynet påpeger dog, at der løbende skal foretages vurdering af, om det tekniske og organisatoriske sikkerhedsniveau er passende.
2. ARTIKEL 25 OM PRIVACY BY DESIGN AND BY DEFAULT
Vejledningen opdeler beskrivelsen af artikel 25 om databeskyttelse gennem design og standardindstillinger i to hovedafsnit.
2.1 Privacy by design
Vejledningen uddyber artikel 25, hvorefter den dataansvarlige skal designe og indrettet sin it-mæssige og organisatoriske håndtering af persondatabehandlinger, så det er muligt at opfylde forordningens krav som en integreret del i hele behandlingsforløbet.
Formålet med privacy by design er, at databeskyttelse tænkes ind allerede i designfasen af et it-system. Det betyder, at fremtidige it-systemer skal designes med henblik på effektiv implementering af databeskyttelsesprincipper, eksempelvis ved anvendelse af Privacy Enhancing Technologies (PETs).
Vejledningen gentager Justitsministeriets udtalelser i betænkningen om databeskyttelsesforordningen om, at ældre og eksisterende systemer som udgangspunkt ikke skal re-designes som følge af artikel 25.
Vejledningen indeholder en række konkrete eksempler på privacy by design, samtidig med at den giver en beskrivelse af bestemmelsens rækkevide, tidsrammen for bestemmelsen, samt hvordan foranstaltningerne ved databeskyttelse gennem design gennemføres.
2.2 Privacy by default
Privacy by default betyder, at den dataansvarlige skal sikre, at det kun er de personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, der bliver behandlet. Formålet er bl.a., at personoplysninger ikke uden den registreredes indgriben stilles til rådighed for et ubegrænset antal personer.
Vejledningen indeholder konkrete eksempler på privacy by default.
Fremtidige it-systemer eller ændringer til eksisterende it-systemers standardindstillinger skal udformes på en sådan måde, at der alene indsamles den datamængde, der er nødvendig, og at omfanget af behandlingen ikke er unødigt stort, samt at opbevaringstiden ikke er for lang.
Vejledningen beskriver afslutningsvis, hvordan overholdelse af et godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kan bruges som element til at påvise, at kravene til behandlingssikkerhed overholdes.
