Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger

Datatilsynet har for nylig offentliggjort en ny vejledning, der redegør for databeskyttelsesforordningens krav til behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.

Norrbom_Sara_127_WEB.jpg

Denne seneste vejledning fra Datatilsynet er delt op i to. I første del kan man hente hjælp til at sikre, at man lever op til databeskyttelsesforordningens krav om behandlingssikkerhed. Anden del af vejledningen omhandler databeskyttelsesforordningens krav til databeskyttelse gennem design og standardindstillinger.

Behandlingssikkerhed
Databeskyttelsesforordningens krav til behandlingssikkerhed skal mindske risikoen for, at personoplysninger misbruges eller havner i de forkerte hænder.

Der stilles generelt et krav om, at behandling af personoplysninger underlægges et passende sikkerhedsniveau. Hvad der nærmere udgør et ”passende sikkerhedsniveau”, afhænger blandt andet af, hvilke personoplysninger der behandles (almindelige eller følsomme), og hvor store risici for sikkerhedsbrud der konkret er til stede. Den dataansvarlige er forpligtet til at foretage en risikovurdering, hvor det eksempelvis vurderes, hvor stor risiko der er for identitetstyveri og anden skade på den registrerede.

Ud over en redegørelse for begrebet ”behandlingssikkerhed” og en gennemgang af kravene, indeholder vejledningen også en praktisk ”hjælpe-guide” til at overholde kravene til behandlingssikkerhed, herunder en række eksempler på, hvad der kan udgøre passende sikkerhedsforanstaltninger.

 
Databeskyttelse gennem design og standardindstillinger
I anden del af vejledningen redegøres der for databeskyttelsesforordningens krav til databeskyttelse gennem design, som skal sikre et højt databeskyttelsesniveau ved eksempelvis udvikling af nye it-systemer.

Herudover gennemgås databeskyttelsesforordningens krav om databeskyttelse gennem standardindstillinger, som overordnet indebærer en forpligtelse for den dataansvarlige til at sikre, at standardindstillinger af fx et it-system er afpasset på en sådan måde, at registrerede personer ydes mest mulig beskyttelse, fx ved at systemet kun indsamler nødvendige oplysninger om de personer, der anvender systemet.

Datatilsynets vejledning kan læses her.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet