Risikovurdering

Hvad er en risikovurdering?

En risi­ko­vur­de­ring er en vurde­ring af de risici, der er i forbin­delse med en behand­ling af personoplysninger. Det fore­går i prak­sis ved, at man som data­ansvar­lig – alle­rede før man påbe­gyn­der behand­ling af personoplysninger – skal kort­lægge risi­koen for, at de regi­stre­re­des rettig­he­der bliver kræn­ket og efter­føl­gende sammen­holde dette med konse­kven­serne heraf.

Tanken bag en risi­ko­ba­se­ret tilgang til valg af sikker­heds­for­an­stalt­nin­ger er altså, at man som data­ansvar­lige skal vælge netop de foran­stalt­nin­ger, som er rele­vant ud fra de konkrete risici, man står over­for.

 

Risikobaseret tilgang

Den risi­ko­ba­se­ret tilgang opti­me­rer såle­des forbru­get af ressour­cer og samti­digt skaber det en rød tråd i sikkerheds- og doku­men­ta­tions­ar­bej­det. Dog stil­ler kravet om en risi­ko­vur­de­ring store krav til den data­ansvar­lige, der skal gøre sig i stand til at vurdere risici for den regi­stre­rede, når der behand­les personoplysninger.

Den regi­stre­rede risiko er ikke den samme som den data­ansvar­li­ges. F.eks. kan risi­ci­ene for den data­ansvar­lige for et dating­s­ite være tab af kunder, trovær­dig­hed og i sidste ende forret­ning. For de regi­stre­rede kan det imid­ler­tid være tab af mangel på kontrol af hemme­lig­hed, skils­misse, tab af fami­lie og tab af social status. Risi­ko­vur­de­rin­gen efter GDPR skal have fokus på den regi­stre­re­des risici.

 

Hjælp til risikovurdering

Udar­bej­del­sen af en risi­ko­vur­de­ring er en stor opgave, som kræver den rette faglige indsigt og erfa­ring – derfor kan det være en god idé at søge juri­disk bistand til de spørgs­mål, der med sikker­hed vil opstå i forbin­delse med udar­bej­del­sen af denne. Du er altid velkom­men til at kontakte os — så kan vi snakke nærmere om jeres mulig­he­der.
 

Risi­ko­vur­de­rin­gen benyt­tes blandt andet i:

  • Fast­læg­gel­sen af den data­ansvar­li­ges ansvar (omfang og karak­ter af behand­ling)
  • Omfan­get af data­be­skyt­telse gennem design
  • Behand­lings­sik­ker­hed
  • Konse­kvens­a­na­lyse

 

Hvordan laver man en risikovurdering?

Hver­ken data­be­skyt­tel­ses­for­ord­nin­gen eller Data­til­sy­net stil­ler konkrete krav til, hvor detal­je­ret risi­ko­vur­de­rin­gen skal være. Derfor skal man som data­ansvar­lig selv fast­lægge et passende niveau med afsæt i de risici, man står over­for.

Selve risi­ko­vur­de­rin­gen består af flere dele:

1. En kort­læg­ning af de risici, der er i forbin­delse med en given behand­ling og en kate­go­ri­se­ring (scor­ing, sand­syn­lig­hed og alvor­lig­hed) heraf.
2. En vurde­ring af hvilke tekni­ske og orga­ni­sa­to­ri­ske foran­stalt­nin­ger, der skal iværk­sæt­tes, for at sørge for at data­be­skyt­tel­ses­for­ord­nin­gen over­hol­des, og sørge for at dette kan doku­men­te­res.

Når man laver en risi­ko­vur­de­ring, kan man med fordel dele proces­sen op i en konse­kvens­vur­de­ring, trus­sels­vur­de­ring og sårbar­heds­vur­de­ring. På baggrund af dette kan man tegne et over­ord­nede risi­ko­bil­lede.

 

Konsekvensanalyse

Hver gang man har at gøre med et infor­ma­tions­ak­tiv (software, hardware, mv.) star­ter man med at fast­slå karak­te­ren af data og dermed konse­kven­sen (høj, medium eller lav) af, at akti­vets fortro­lig­hed, tilgæn­ge­lig­hed og/eller inte­gri­tet skulle gå tabt. Der er som sagt ikke noget konkret krav til detal­je­rings­ni­veauet af en risi­ko­vur­de­ring. Derfor kan den data­ansvar­lige vælge at vurdere sine infor­ma­tions­ak­ti­ver hver for sig eller lave en enkel samlet konse­kvens for alle akti­ver, der i stedet deles op efter tilgæn­ge­lig­hed, fortro­lig­hed og inte­gri­tet.

 

Trusselsvurdering

Efter­føl­gende skal man som data­ansvar­lig kort­lægge, hvilke trus­ler man står over­for og vurdere, hvad sand­syn­lig­he­den (høj, medium eller lav) er, for at trus­len bliver til virke­lig­hed. Konkrete trus­ler kan f.eks. være hack­ing, virus eller phis­hing.

Når man har iden­ti­fi­ce­ret trus­lerne, kan det være svært at sige noget om sand­syn­lig­he­den for, at trus­len indtræf­fer. Her kan man først og frem­mest inddrage egen histo­ri­ske data – har man førhen ople­vet at en trus­sel mani­feste­ret sig, og dermed ople­vet et data­brud?

Eksemp­ler på trus­ler kunne være, hvis man som data­ansvar­lige er udsat for:

  • hack­ing, phis­hing eller ransomware,
  • tyveri af personoplysninger,
  • fejl­ud­sen­delse af personoplysninger til forkert modta­ger
  • eller har uplo­a­det personoplysninger til private cloudtje­ne­ster.

Den histo­ri­ske data kan supple­res med stati­stik­ker fra nogle af de store anti­virus produ­cen­ters årsrap­por­ter.

 

Sårbarhedsvurdering

Man har som data­ansvar­lig højst sand­syn­ligt alle­rede eksi­ste­rende sikker­heds­for­an­stalt­nin­ger, der har en formil­dende effekt i forhold til de trus­ler, som er kort­lagt i forbin­delse med trus­sels­vur­de­rin­gen. I sårbar­heds­vur­de­rin­gen skal man kort­lægge disse eksi­ste­rende sikker­heds­for­an­stalt­nin­ger, som alle­rede er iværk­sat samt deres bidrag til at redu­cere sand­syn­lig­hed og konse­kvens.

 

Risikobilledet

Med afsæt i oven­stå­ende delvur­de­rin­ger kan man nu beskrive det over­ord­nede risi­ko­bil­le­det.

Ledel­sen skal nu tage stil­ling til, om en given risiko er accep­ta­bel, eller om man aktivt skal forsøge at nedbringe risi­koen yder­li­gere. I sidste ende vil der altid være en restri­siko som ledel­sen bliver nødt til at accep­tere.

Risikovurdering

 

Eksempel på risikovurdering

Erhvervs­sty­rel­sen og Rådet for Digi­tal Sikker­hed har lavet en skabe­lon til en risi­ko­vur­de­ring, som du kan hente gratis her.

Når man udfyl­der skabe­lo­nen, tager man blandt andet stil­ling til:

  • Hvilke trus­ler kan påvirke fortro­lig­hed, tilgæn­ge­lig­hed eller inte­gri­tet?
  • Hvem ejer risi­koen?
  • Hvor­for er dette en risiko?
  • Hvad er konse­kven­serne hvis trus­len mate­ri­a­li­se­rer sig?
  • Hvad er sand­syn­lig­he­den for at trus­len mate­ri­a­li­se­rer sig?
  • Heref­ter vejes risi­koen og sand­syn­lig­he­den sammen til en bereg­net risiko
  • Ledel­sen kan nu vælge at accep­tere, forsikre, over­våge eller undgå den iden­ti­fi­ce­rede risiko
  • I tilfælde af at ledel­sen ønsker at undgå risi­koen, kan der iværk­sæt­tes nye foran­stalt­nin­ger – både teknisk og orga­ni­sa­to­risk.
  • Heref­ter bereg­nes en ny konse­kvens, sand­syn­lig­hed og restri­siko, som ledel­sen så igen skal beslutte sin hold­ning til.

Denne frem­gangs­me­tode til at udar­bejde en risi­ko­vur­de­ring er såle­des klart struk­tu­re­ret og itera­tiv, hvil­ket bidra­ger til at skabe en rød tråd i både den data­ansvar­li­ges sikker­heds­ar­bejde og arbej­det med at sikre over­hol­delse af data­be­skyt­tel­ses­reg­lerne. Bemærk at denne tilgang blot er ét eksem­pel ud af mange på hvor­dan man kan udar­bejde en risi­ko­vur­de­ring.

 

Kontakt

Hvis du forsat synes at det virker som om udar­bej­del­sen af en risi­ko­vur­de­ring er en uover­sku­e­lig opgave, er du meget velkom­men til at kontakte os for en ufor­plig­tende drøf­telse af dine mulig­he­der.

Vi har fokus på det gode samar­bejde og vil aktivt inddrage jer hele vejen igen­nem forlø­bet. På den måde kan vi altid sikre jer den mest opti­male løsning ud fra jeres behov.

 

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev