Henning Mortensen: Sådan bliver du klar til Databeskyttelsesforordningen

Henning Mortensen: Sådan bliver du klar til Databeskyttelsesforordningen
03.04.2018
Persondataforordningen betyder meget for den måde vi beskytter personoplysninger på. I fremtiden kan man ikke bare slå op i sikkerhedsbekendtgørelsen og blindt gennemføre de oplistede tiltag – fordi sikkerhedsbekendtgørelsen falder bort.


Sikkerhed når der behandles personoplysninger

Af Henning Mortensen, taler på JUC's Persondatakonference og CISO og CPO hos Brødrene A & O Johansen

Persondataforordningen betyder meget for den måde vi beskytter personoplysninger på. I fremtiden kan man ikke bare slå op i sikkerhedsbekendtgørelsen og blindt gennemføre de oplistede tiltag – fordi sikkerhedsbekendtgørelsen falder bort. Man skal i stedet lave en vurdering af, hvilke risici den dataansvarliges behandling af personoplysninger kan medføre for de registreredes rettigheder. Herefter skal man implementere netop dé passende organisatoriske og tekniske foranstaltninger, som kan imødegå de identificerede risici.

Når man skal identificere risici, kan det betale sig at bruge et eksisterende framework, som oplister (næsten alle) de risici, data og systemer kan stå overfor. Der findes flere sådanne frameworks – bl.a. OCTAVE eller ENISAs trusselskataloger. Man kan betragte disse kataloger som bruttolister over trusler, hvor man så må vælge de trusler, der er mest relevante for ens egen organisation.

De organisatoriske foranstaltninger som man må gennemføre omfatter bl.a. en IT-sikkerhedspolitik, med tilhørende organisering af sikkerhedsarbejdet, regelsæt for driften, regler for medarbejderne, privacy notice til de registrerede og kontroller af sikkerheden.

Persondataforordningen giver ikke meget hjælp til, hvilke tekniske foranstaltninger lovgiver har haft i tankerne i og med, at der kun nævnes pseudonymisering og kryptering som eksempler. Men man må i hvert fald regne med, at bl.a. de klassiske sikkerhedstiltag som antivirus, firewalls, opdatering og logning er omfattet. Desuden bør man også vurdere en række nyere teknologier, som data loss prevention, og data discovery.

Når man skal til at arbejde med sikkerhed, kan det betale sig at gå frem efter sikkerhedsstandardarden ISO 2700X. ISO 2700X er en serie af sikkerhedsstandarder, som sikrer, at man kommer hele vejen rundt om risikovurdering og organisatoriske og tekniske foranstaltninger.

I det næste nummer af Revision og Regnskabsvæsen, som udkommer primo maj 2018, har Henning Mortensen forfattet en artikel, der bl.a. kan bruges som tjekliste til hvilke foranstaltninger, som det kan betale sig at vurdere, om man skal iværksætte.


Om Henning Mortensen:
 

  • Taler på JUC's konference Persondatakonference for offentlige myndigheder d. 19. april 2018
  • Er CISO og CPO hos Brødrene A & O Johansen
  • Har i mere end 15 år arbejdet som seniorrådgiver i Dansk Industri herunder med persondata og databeskyttelse
  • Var 2012 med til at stifte Rådet for Digital Sikkerhed og har stået bag en række vejledninger om it-sikkerhed til danske virksomheder
  • Blev formand for Rådet for Digital Sikkerhed i 2017