Arbejdet med risikovurderinger

En risikovurdering er en vurdering, som du som dataansvarlig skal foretage af de risici, som de registrerede (kunder, medarbejdere mv.) er udsat for.

Forordningen kræver risikovurdering for at sikre, at tekniske og organisatoriske sikkerhedsforanstaltninger er proportionale med de oplysninger, du som dataansvarlig behandler. Det betyder, at du planlægger dine sikkerhedsforanstaltninger ud fra, hvilke data du håndterer for at opnå den bedst mulige sikkerhed og beskyttelse af den registreredes oplysninger.

Opret en risiko

For at vurdere en risiko skal du først oprette en risiko. Dette gøres ved at trykke på ‘Opret’ (1) eller redigeringsikonet (2).  

  1. Funktionsikoner fra venstre mod højre; slette og arkivere.

Når du klikker på ‘opret’ eller ‘rediger’ åbnes en formular:

1 – Indtast titlen på risikoen. Det er op til dig, hvad titlen skal være, alt efter hvilken titel, der gør det mere overskueligt for dig.

2 – Når du har identificeret en risiko og oprettet en risikokategori, kan du ved at klikke på ‘opret risikovurdering’ åbne en risikovurderingsformular. Her vil du også kunne se, om der allerede er foretaget en risikovurdering.

3 – Klik på opret, hvis du blot har identificeret en risiko, men ikke ønsker at foretage risikovurderingen med det samme eller ønsker at oprette en risikokategori, før du starter risikovurderingen. Dette vil gemme risikoen i oversigten, men uden at der senere skal foretages en risikovurdering.

Lav risikovurdering

Når du har oprettet både risiko og risikokategori, kan du starte risikovurderingen. Dette gøres ved at klikke på afsnitsnr. 2 på billedet ovenfor. Der kommer et felt frem, hvor du skal starte med at tage stilling til, hvad du vil risiko vurdere. Ved at klikke på feltet får du en liste over følgende valg, som du kan foretage:

‘Generelt’ er for de risici, der er af generel karakter for organisationen. Eksempler omfatter ‘indbrud’, der hører til risikoen for ‘ondsindede personer’. En generel risikovurdering kan være af intern eller ekstern karakter. Dette er angivet på risikovurderingen. Der skelnes mellem interne og eksterne risici, da interne risici ofte reduceres gennem processer og træning, mens eksterne risici oftest reduceres ved at implementere tiltag (f.eks. et alarmsystem).

Vælger du ikke generelt, kan du vælge at risiko vurdere en arbejdsproces, en datamodtager eller et it-system/informationsaktiv. Hvis en af disse tre vælges, risikovurderes arbejdsproces, datamodtager eller IT-system/informationsaktiv i feltet, der står ved siden af. Listen tilpasser sig den type du har valgt og vil repræsentere de arbejdsprocesser, datamodtagere og it-systemer/informationsaktiver, som du har oprettet i portalen.

Beskriv risikovurdering

Når du har valgt, hvilken type du risikovurderer, tilpasser risikovurderingsskemaet sig til det. Den første ting, den vil bede dig om at gøre, er at beskrive risikovurderingen. Her beskriver du, hvordan risikoen kommer til udtryk. Det kan fx være en beskrivelse af, hvordan menneskelige fejl kan påvirke arbejdsprocessen for at modtage ansøgninger.

Konsekvenserne for den registrerede

Hvis der sker et brud på den registreredes rettigheder, fx ved at oplysninger om den registrerede bliver hacket, lækket eller på anden måde tabt af virksomheden, afhænger konsekvenserne af oplysningerne:

1 – Meget lav – Kun navn eller selvstændige identifikationsoplysninger.

2- Lav – Mere almindelig information.

3- Medium – Generelle oplysninger af fortrolig karakter (f.eks. fravær/betalingsoplysninger osv.)

4- Høj – Særlige oplysninger.

5 – Meget høj – Følsom information.

Når du gennemfører konsekvensanalysen, skal du være opmærksom på, at du vurderer indvirkningen på den registrerede og ikke på virksomheden. Oftest vil vurderingen tage udgangspunkt i den klassiske opdeling af generelle, særlige og følsomme oplysninger, men oplysninger, der ikke er umiddelbart følsomme af karakter, kan udgøre følsomme oplysninger. For eksempel leveres postudbringning til en person med tidsskrifter, der alle peger på et bestemt religiøst eller politisk tilhørsforhold. Risikovurderingen skal afspejle dette.

I skemaet ser det sådan ud:

  1. Angiv niveauet af konsistens. Oversigten over hvilket nummer hvilket niveau har kan ses ovenfor og vil også fremgå af afsnit 2.
  2. Her vil skemaet vise hvilket niveau der er valgt for konsekvensen.
  3. Du kan klikke her og vælge nogle standardbeskrivelser, der allerede er oprettet.
  4. Her kan du skrive nogle kommentarer til, hvorfor konsekvensen vurderes, som den er.

Sandsynligheden for at risiciene bliver realitet

Her skal du vurdere sandsynligheden. Sandsynligheden er påvirket af forskellige faktorer afhængigt af typen af risiko. Der er også forskellige tiltag, der kan reducere risiciene.

Sandsynligheden for nogle typer risici kan reduceres gennem politikker, retningslinjer og oplysningstræning målrettet den enkelte risiko. Ved interne IT-systemer/informationsaktiver kan sandsynligheden påvirkes af tekniske tiltag.For de generelle risici kan sandsynligheden også påvirkes gennem politikker, retningslinjer, organisatoriske tiltag og sikkerhedsforanstaltninger, hvorfor der skal udarbejdes en konkret vurdering af sandsynligheden for hver risiko.

Vurderingen af sandsynlighed er derfor baseret på påvirkningsniveauet i forhold til niveauet af sikkerhedsforanstaltninger. Hvis sikkerhedsforanstaltningerne har samme niveau som konsekvensen, vil det tale for en ‘meget lav’ / ‘lav’ sandsynlighed.

Denne del af skemaet udfyldes på samme måde som konsekvensanalysen ovenfor.

Overblik over en risiko

For at få et overblik over den enkelte risiko kan du åbne et oversigtsvindue. For at gøre dette skal du klikke på en af følgende:

I oversigten vil du kunne se titlen på risikoen, som kan redigeres ved at klikke på den. Du kan se en komplet liste over alle risikovurderinger baseret på den risiko, du har valgt. Du kan redigere og slette hver risikovurdering og se det beregnede risiko niveau til højre sammen med en indikator for, om risikoen er acceptabel – et grønt flueben, hvis det er det, og et rødt udråbstegn, hvis ikke.

Det løbende arbejde med risikovurderinger

I forbindelse med risikovurderinger er der nogle løbende opgaver, som skal planlægges i forbindelse med det generelle GDPR-arbejde.

  • Der skal laves nye risikovurderinger, hver gang der laves en ny arbejdsproces eller et nyt it-system.
  • Risikovurderinger skal opdateres eller efterses, hver gang en arbejdsproces rettes, eller et nyt IT-system/datamodtager tages i brug.
  • For alle risikovurderinger, hvor den beregnede risiko ikke accepteres, skal der implementeres en foranstaltning, der reducerer risikoen til et acceptabelt niveau.
  • Alle risikovurderinger skal revurderes én gang om året. Hvis risikovurderingen forbliver uændret, kan dette noteres i revurderingen.
  • Det anbefales at oprette en kontrolserie med et årligt interval for at gennemgå alle risikovurderinger.

    Address
                                

    GapSolutions A/S
    Uraniavej 6, 1.
    DK-8700 Horsens

    CVR
                                

    CVR-nr. 38582356

    Phone
                               

    Sales & administration
    (+45) 8844 0808

    Helpline & consultants
    (+45) 2199 0808

    E-mail
                                

    kontakt@gapsolutions.dk

    support@gapsolutions.dk

    Cookiepolicy

    Privacy policy