Udvalgte tendenser inden for persondataretten
Datatilsynet har i 2022 gennemført omfattende tilsyn af en række offentlige myndigheder. De overordnede konklusioner fra tilsynene er for nyligt blevet offentliggjort i form af en målrettet vejledning med nedslag i en række udvalgte generelle tendenser, hvor der er plads til forbedring hos de pågældende myndigheder.
Selvom tilsynene har været målrettet offentlige databehandlere, kan man som privat databehandler med fordel skele til konklusionerne fra tilsynene og ikke mindst vejledningen, da GDPR-reglerne overvejende er de samme for offentlige og private databehandlere, ligesom mange af de generelle udfordringer givetvis vil være de samme.
De udvalgte tendenser er behov for et øget fokus på sletning, rettighedsstyring og foranstaltninger ved fremsendelse af mails med personoplysninger. Derudover skulle arbejdet med risikovurderinger og IT-beredskaber have mere opmærksomhed. Alt sammen relevante overvejelser for en arbejdsgiver, som behandler persondata:
1.Procedurer for sletning
Persondata skal slettes, så der ikke registreres konkrete persondata i længere tid end nødvendigt til opfyldelse af de formål, hvortil de pågældende personoplysninger er indsamlet og behandles. Hermed mindskes risikoen for f.eks. datalæk, hacker- og ransomware-angreb o.l.
2. Minimering af risikoen for at personoplysninger sendes forkert
Hovedparten af de brud på persondatasikkerheden, som anmeldes til Datatilsynet, vedrører situationer, hvor personoplysninger sendes til en uvedkommende modtager. Typisk ved fremsendelse til en forkert e-mailadresse eller ved forkert brug af mailinglister. Det anbefales derfor, at der indføres forskellige forebyggende foranstaltninger eller procedurer for at undgå dette, f.eks. at undgå brug af auto-udfyldning af e-mailadresser.
3. Kontrol af adgang til persondata
Den dataansvarlige anbefales at have fokus på styring og kontrol af adgangsrettigheder til IT-systemer, HR-værktøjer o.l. Kun relevante medarbejdere skal have adgang, og en medarbejders brugeradgang eller rettighed til et it-system, er ikke ensbetydende med, at vedkommende frit skal kunne anvende personoplysninger i systemet. Medarbejderens brug og adfærd skal med andre ord kontrolleres, hvis ikke en teknisk begrænsning er tilstrækkelig.
4. Afdækning af risiko
Når en virksomhed behandler persondata, skal den foretage en risikovurdering for alle databehandlinger. Risikovurderingen skal afdække alle de persondatabehandlinger som virksomheden foretager, hvorefter det skal fastslås hvilke passende fysiske, tekniske og organisatoriske sikkerhedsforanstaltninger der skal iværksættes ved den konkrete databehandling. Risikovurderingen har imidlertid to niveauer i form af en almindelig risikovurdering og en konsekvensanalyse. En konsekvensanalyse går videre end en risikovurdering, men kræves dog kun ved højrisiko behandlinger, og vil derfor sjældent være relevant for en dataansvarlig arbejdsgiver modsat f.eks. offentlige sundhedsmyndigheder.
5. Opdaterede og gennemtestede IT-beredskabsplaner
Opdaterede og testede it-beredskabsplaner er vigtige, da de kan afbøde konsekvenserne ved IT-angreb eller nedbrud. Test og efterprøvning er vigtig, da en beredskabsplan kan se fornuftig ud på papir, men i praksis kan vise sig svær eller umulig at udføre i sin helhed.
Den fulde vejledning kan findes på Datatilsynets hjemmeside. Læs mere om persondata og GDPR på vores hjemmeside her.
