Om Kontakt Tjenester Kurs Nettbutikk Fagblogg Global 🌎

GDPR risikovurdering for behandling av personopplysninger

GDPR risikovurdering

«Risikovurdering» høres fremmed ut for mange, men det betyr helt enkelt dette: å vurdere hva som kan gå galt, finne ut hvordan du forhindrer det, og hva du må gjøre hvis noe likevel skjer.

Datatilsynet skriver:

Virksomheten skal gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem [og] ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger, […] informasjonssystem eller […] trusselbildet.

Krav til risikovurderinger i GDPR er blant annet regulert i artikkel 32 og er noe Datatilsynet vil be deg om, ved en tilsynskontroll.

NB! I forbindelse med Schrems II-dommen er en risikovurdering viktigere enn noen gang og det første steget du må ta i dag hvis du bruker amerikanske databehandlere i bedriften din. Blir du helt matt? Ta kontakt for personlig hjelp.

PS: Hvis dette er første gangen du leser om GDPR, eller ikke har gjort noe annet i arbeidet, da bør du først lese om GDPR for små bedrifter.

Innlegget kort oppsummert:

  • Du plikter å gjennomføre risikovurderinger i GDPR-arbeidet ditt (selv om du er en mikrobedrift med 0-1 ansatt)
  • Risiko er en kombinasjon av sannsynlighet for og konsekvensen av en uønsket hendelse
  • For små bedrifter kan en risikovurdering gjøres veldig enkelt og etter de 4 stegene beskrevet nedenfor
  • Du må dokumentere (skrive ned) risikovurderingen
  • Hver gang du tar i bruk et nytt system, må du gjøre en risikovurdering
  • Du bør oppdatere risikovurderingen årlig (i tråd med interne GDPR-revisjoner)

Risikovurderinger bør du gjøre for hele bedriften din og ikke bare relatert til GDPR. Men, i dag skal vi gå gjennom vurdering av risiko i personvernarbeidet, og se særlig på 4 konkrete steg du kan ta i en slik vurdering.

PS: En viktig forskjell fra en tradisjonell risikovurdering er at en risikovurdering i personvernarbeidet har den registrerte i fokus, altså de vi behandler personopplysninger til, og ikke vår egen virksomhet.

Risikovurderinger og informasjonssikkerhet i arbeidet med GDPR

Risikovurderinger henger tett sammen med informasjonssikkerhet.

Og sikring av informasjon knyttet til personvern handler om å håndtere risiko relatert til all behandling du gjør av personopplysninger i virksomheten din.

Du må sørge for at du sikrer:

  • Konfidensialitet: at uvedkommende ikke får tilgang til personopplysninger
  • Integritet: at personopplysninger ikke blir endret eller slettet ved uhell, eller av uvedkommende
  • Tilgjengelighet: at personopplysninger er tilgjengelig når du trenger dem
  • Robusthet: at du er godt rustet for å motstå driftsbrudd og klarer å gjenopprette normaltilstand raskt, hvis et databrudd skulle skje

Her er noen eksempler på brudd på disse prinsippene:

  • Konfidensialitet: du låste ikke PC-en på kafeen da du hentet kaffen din, så personen ved nabobordet så navnet på en klient som hadde bestilt ny terapitime
  • Integritet: VA-en du hyrte inn* makulerte personopplysninger i en arkivperm da en tidligere kunde ba om det, selv om dere plikter å lagre personopplysningene i to år til etter reglene i bokføringsloven
  • Tilgjengelighet: alle sykehussystemene ble låst av et løsepengevirus, så livskritiske operasjoner ikke kunne gjennomføres (sann historie)
  • Robusthet: hvis du fikk datamaskinen din frastjålet og ikke hadde tilgang på noen digitale systemer pga. mangel på sikkerhetskopier og skyløsninger

* Det er ditt ansvar å sørge for at du 1) kun bruker leverandører og systemer som driver/er i tråd med GDPR, og 2) gir tilstrekkelig opplæring til ansatte og andre som håndterer personopplysninger i virksomheten din

Du må sikre både fysiske og digitale personopplysninger

En risikovurdering gjelder ikke bare personopplysninger du lagrer i digitale systemer. Den skal også inkludere personopplysninger som ikke lagres digitalt, f.eks. i arkivpermer og notatblokker, og som formidles muntlig.

Du må med andre ord tenke deg om før du diskuterer kanskje sensitive personopplysninger med en kollega, særlig om dere er utenfor kontoret.

Overraskende ofte kan man høre at folk diskuterer både kunder, leverandører, andre ansatte og annen sensitiv bedriftsinformasjon, på fly, tog og buss. Det stiller ikke bare virksomheten i et dårlig lys, men det kan altså være ulovlig.

Se deg om der du sitter nå. Har du notatbøker liggende på skrivebordet, som du skriver ned notater fra møter i (med navn på vedkommende du snakker med)? Post-it-lapper med beskjeder og annet du skal huske? Minnepenner og eksterne harddisker?

Hvordan har du lagret ansattavtaler og sykemeldinger, før det meste ble digitalt? Eller kanskje du har diverse regnskapsdokumentasjon og kontrakter, som ofte inneholder personopplysninger som navn og signatur.

Det trenger ikke å være så mange personopplysninger, men så snart noe er det (og det gjelder svært mye), gjelder GDPR.

NB! Ofte plikter vi å ta vare på personopplysninger i et visst antall år, for eksempel etter bokføringsloven (3,5 til 10 år, avhengig av type dokumentasjon og bransjen din, noe du må sjekke og ha kontroll på selv).

Før du sikrer personopplysninger må du vite hvor de er

Hvis du allerede har jobbet en del med GDPR ser du at det vi snakker om over, er en komplett oversikt over alle personopplysninger du behandler, i hele virksomheten din. Og den finner du i behandlingsprotokollen din.

Behandlingsprotokollen er selve kjernen i personvernarbeidet ditt og bør gjøres før du tenker på å skrive en personvernerklæring engang.

Protokollen skal inneholde alle systemene du behandler personopplysninger i, fysisk eller digitalt, og er en av de viktigste lovpålagte pliktene våre etter GDPR (artikkel 30).

En enkel tilnærming på GDPR risikovurdering i 4 steg

Først en liten disclaimer. Det finnes svært mye detaljert informasjon om, og ofte kompliserte metoder for, risikovurderinger. Det er et stort og omfattende område der mange fagfolk kun driver med dette på heltid.

Med all respekt for det og dem, så er jeg samtidig opptatt av å hjelpe spesielt små bedrifter å få til pliktene sine på en enkel måte.

Derfor har jeg en tilnærming som er betydelig enklere i natur, men ikke dermed sagt dårligere enn om vi brukte avanserte matriser, fargekoding og tabeller.

For det desidert viktigste her er at du faktisk forstår hva en risikovurdering er og verdien av den, hvordan du gjennomfører en, og at du bruker den i praksis.

Som med interne GDPR-rutiner så er heller ikke risikovurderinger verdt så mye, om du verken skjønner eller følger dem (eller bare får noen andre til å skrive dem, uten selv å skjønne innholdet).

Med denne enkle tilnærmingen er det imidlertid ingen unnskyldninger.

Vurder risiko, tiltak og avvikshåndtering

Gå gjennom hvert trinn og dokumenter resonnement og konklusjon:

  1. Hva har vi (personopplysningene du behandler)?
  2. Hva kan gå galt (brudd på integritet, konfidensialitet osv.)?
    • Hva er sannsynligheten for at dette skjer?
    • Hva er konsekvensen av at dette skjer?
  3. Hvordan kan vi forhindre at dette skjer (tiltak)?
  4. Hva gjør vi om noe likevel går galt (avvikshåndtering)?

Vi gikk gjennom det første steget over; å kartlegge hva vi har, altså hvilken verdi vi skal beskytte. Kartleggingen ender opp i behandlingsprotokollen.

En sentral del av kartleggingsjobben er å vurdere håndteringen av sikkerhet og personvern hos leverandører og i systemer vi bruker. Vi må sikre at begge deler er i tråd med GDPR.

Deretter vurderer vi hva som kan gå galt ("uønskede hendelser"). Se på eksemplene over og tenk gjennom hva som kan gå galt i din bedrift.

Har du kun hjemmekontor? Hva kan gå galt der?

Vurder sannsynlighet og konsekvens for hver uønsket hendelse. I neste steg definerer du tiltak for å hindre hver uønsket hendelse, og i siste steget hva du gjør hvis den likevel skulle oppstå (avvikshåndtering).

Hvis du fikk innbrudd på hjemmekontoret og jobb-PC-en ble stjålet, hvilke tiltak har du for å beskytte dataene dine?

👉 Skriv ned alle funnene dine og lagre risikovurderingen i GDPR-mappa.

Alle trinnene må tilpasses til din bedriften og den behandlingen av personopplysninger du gjør. Invester gjerne i malverk om kan forenkle arbeidet, men husk at en mal er akkurat bare det; en mal.

Vurdere og gradere risiko

Risiko er en kombinasjon av sannsynlighet for og konsekvensen av en uønsket hendelse. Dette kan du skrive ut i tekst – som sagt trenger du ikke å bruke beregninger i det hele tatt hvis du har veldig enkle forhold.

Mange synes likevel at det er nyttig, fordi du da får en håndfast vurdering av risikoen. Prøv selv og gjør det som føles riktig for deg. Det viktigste er uansett at du dokumenterer noe. 😉

Med utgangspunktet over, kan du spørre deg selv:

  • Hva er sannsynligheten [x] for at hendelsen skjer?
  • Hva er konsekvensen [y] av at hendelsen skjer?

x * y = risiko

For å avgjøre hvor alvorlig risikoen er, kan vi rangere x og y etter en skala på 1-5, der 1 er lavest og 5 er høyest.

Hvis du har en hendelse der både x og y = 5, får du 5 * 5 = 25, altså en svært stor sannsynlighet for at den uønskede hendelsen skal inntreffe, og konsekvensen av at det skjer er svært alvorlig. Denne bør du redusere snarest! 🤯

Eksempel på en risikovurdering

Vi kan se på arkivpermer på kontoret som et eksempel:

  1. Hva har vi? Arkivpermer med kontrakter og personalmapper
  2. Hva kan gå galt? Innbrudd, hærverk, brann, oversvømmelse, snoking
  3. Hvordan kan vi forhindre at dette skjer? Låse permene inn i et brannsikkert skap, digitalisere innholdet, sikre back-up
  4. Hva gjør vi om noe likevel går galt? Lukker avviket, anmelder, varsler forsikringsselskap, sjekker at sikkerhetskopiene fungerer, varsler berørte

Hvilke tiltak du definerer og innfører avhenger av hva slags type personopplysninger du skal sikre. Helseopplysninger hos fastlegen din krever et betydelig høyere sikringsnivå, enn kontrakter med leverandører for leveranse av kontorrekvisita.

For arkivpermene vurderer vi f.eks. at sannsynligheten for et innbrudd er så lavt som 1, fordi kontorlokalet vårt tilfeldigvis er inne i Fort Knox. For leverandørkontraktene vurderer vi videre at konsekvensen er 1, fordi det verken er sensitive personopplysninger eller bedriftsrelatert informasjon i dem.

Men for personalmappene kan plutselig konsekvensen være 3-4, fordi de inneholder notater fra medarbeidersamtaler og en av de samtalene inneholder svært personsensitiv informasjon. (Da må du også sette deg godt inn i punkt 7 i dette innlegget!)

Du må gjennomføre risikovurderinger og tilpasse beskyttelsestiltakene ut fra dine forhold.

Du må også vite når du plikter å varsle om et data-/sikkerhetsbrudd hos deg. Hvis risikoen er medium til høy, plikter du å varsle Datatilsynet, og ved høy risiko skal du i tillegg varsle de berørte. Da må du ha gode interne GDPR-rutiner på plass.

Hvor avansert må risikovurderingen være?

Som sagt så trenger ikke en risikovurdering å være veldig avansert. Men, det må du vurdere og avgjøre selv og det er mange faktorer som spiller inn.

Ta med i vurderingen hvor liten eller stor virksomheten din er, hva slags personopplysninger du behandler, om du har ansatte eller ikke, bruker frilansere, VA-er og lignende, hvor mange digitale systemer du bruker, hvor disse befinner seg og hvor robuste de er, om du har et fysisk kontor eller lager, bruker speditører, har nettbutikk osv.

Derfor er det også viktig at du forstår hva en risikovurdering er, og at den må skreddersys til dine forhold. Kjøp gjerne ferdige malverk og/eller få hjelp av eksterne, men du må også være i stand selv til å kunne forklare vurderingen til f.eks. Datatilsynet.

Noen forhold øker viktigheten av å gjennomføre en grundig risikovurdering: om du behandler store mengder personopplysninger (f.eks. i en app), driver med utstrakt profilering eller digital markedsføring over flere plattformer, behandler særlige kategorier personopplysninger (f.eks. helseopplysninger) eller opplysninger om lovbrudd.

Da bør du vurdere å få inn hjelp, om du ikke sitter på kompetansen selv.

Les også: Trenger du egentlig en personvernerklæring?