Databeskyttelse gennem design og standardindstillinger

HR-Jura | 13/07/2018

af Lisbeth Lindorff Riis

 

Datatilsynet har udsendt ny vejledning ultimo juni, og denne gang er emnet Databeskyttelse gennem design og standardindstillinger.

Formålet med denne vejledning er, at støtte såvel dataansvarlige som databehandler i, hvordan disse opnår en tilstrækkelig behandlingssikkerhed i henhold til Persondataforordningens art 32, og hvordan dataansvarlige kan takle Persondataforordningens art. 25s krav om design og standardindstillinger.

Datatilsynet har valgt at opdele denne vejledning i to dele.

Databeskyttelse gennem design og standardindstillinger –  Del 1

Vejledningens del 1 omhandler behandlingssikkerhed i persondataforordningens art 32, der primært ser på om de persondataoplysninger beskyttes tilstrækkeligt. Hensigten hermed er at sikre, at persondataoplysninger kun er tilgængelige for de personer, som har et legitimt formål og dermed forhindre, at persondataoplysningerne anvendes til uautoriserede formål, manipuleres eller tilintetgøres.

Datatilsynet anfører også at ”udover uvedkommendes adgang til dine systemer kan en utilstrækkelig sikkerhed f.eks. medføre misbrug eller forkert håndtering af autoriserede brugere eller manglende kontrol/validering, manglende tilgængelighed grundet it-nedbrud, brand eller forkert håndtering af krypteringsnøgler.”

Med denne vejledning ønsker Datatilsynet at bistå dem der er ansvarlig for behandlingen af data. Hensigten med vejledningen er blandt andet at sørge for at behandleren sikrer, at sikkerhedsniveauet er tilstrækkelig. Dermed også forhindre behandlinger der skulle være i strid med forordningen, som f.eks. at uvedkommende får adgang til oplysninger og anvender dem til uautoriserede formål, eller at der sker andre sikkerhedsbrud som følge af forkert håndtering af systemerne m.v.

Det overordnede princip er fortsat gældende – nemlig at jo mere sensitiv persondataoplysning der er tale om – jo større behandlingssikkerhed skal man sørge for. Ved at læse Del 1 i vejledningen får man indsigt i de krav forordningen fastslår og samtidig de overvejelser du som ansvarlig for persondataoplysninger bør gøre dig. Har du brug for en hurtig oversigt over, hvad du skal gøre for at sikre overholdelse af kravene til behandlingssikkerhed, kan det varmt anbefales at se afsnit 4 i Del 1, hvor du finder en god og let anvendelig ”hjælpeguide”.

Databeskyttelse gennem design og standardindstillinger – Del 2

Vejledningens del 2 bearbejder Persondataforordningens art. 25, databeskyttelse gennem design samt databeskyttelse gennem standardindstillinger, som følger af Persondataforordningens art. 25, stk. 2.

Det primære formål med reglerne er at sikre at man allerede i starten af IT-design processer fokuserer på databeskyttelse.

Dernæst er der nu regler om at databeskyttelse også gøres via de standardindstillinger der anvendes. Persondataforordningens art. 25 fastslår entydigt, at den dataansvarlige og databehandleren er forpligtiget til at sørge for, at It-systemernes design og indstillinger sikrer, at der som udgangspunkt leveres den størst mulige grad af beskyttelse for datasubjektet.

SE HER, HVORDAN AZETS KAN ASSISTERE MED HR-JURA

Om Lisbeth Lindorff Riis

Lisbeth Lindorff Riis er uddannet Cand.merc.jur fra Handelshøjskolen i Århus og senere Cand.jur fra Københavns Universitet. Lisbeth har 16 års erfaring med juridisk rådgivning inden for HR, herunder persondataretlige problemstillinger - GDPR, ansættelsesret og barsel. I Azets er Lisbeth Head of HR Legal.