Risikovurdering
"Enhver behandling af persondata må og skal hvile på risikobaseret tilgang." - Datatilsynet
Det skal forstås sådan, at man allerede før en behandling foretages, skal foretage en risikovurdering for, hvad der kan ske af utilsigtede hændelser med den registreredepersondata.
Lav årlig risikovurdering
Risikovurderingen foreslås at indeholde:
Sikring mod data tilintegørelse
- Overvejelser om hvilke data der skal sikres, så de kan genetableres.
- Tjek om sikkerhedskopieringen laves, at den indeholder de ønskede data, og at den rent faktisk kan anvendes til retablering af data.
Tidssvarende driftsmidler
- Hardware: Server, router, PC’er, printer, skærme m.m. Fungerer det stabilt, eller er det tid til udskiftning.
- Software: Styresystemer, journalsystemer, tekstbehandlingssystemer, firmware i routere, printere, infoskærme, andet med forbindelse til nettet, kablet eller trådløst – alt skal jævnligt sikkerhedsopdateres.
Fysisk sikring af data
- Tjek på, om sikkerhedskopi gemmes forsvarligt, gerne på anden fysisk lokation.
- Sikker opbevaring ved aflåsning af server/database
- Ingen persondata på de enkelte pc’er - kun på server. Hvis andre steder så sikring af data, evt med bitlocker
- Vurdering af, hvem der har adgang
- Vurdering af adgangskodelængde, 2-faktor indlogning, periode for skift af
Vurdering af arbejdsgange omkring elektronisk kommunikation med patienter
Ved vurderingen af risici skal der observeres følgende:
- Kan persondata blive brugt til andet end det formål, de er indsamlet til?
- Kan persondata kan falde i uvedkommendes hænder?
- Kan persondata ved et uheld/fejl blive slettet eller utilsigtet blive ændret?
Lav en brainstorming
For at få øje på eventuelle risici og konsekvenser, der kan være i jeres behandling af persondata, så tænk i de situationer og arbejdsopgaver, hvor det kan gå galt.
Eksempel: Hvis personoplysningerne kommer til uvedkommendes kendskab, vil det så kunne skade den berørte person? Hvor slemt vil det være for vedkommende? På en skala fra 1 til 5
- Hvor sandsynligt er det, at det vil ske i den specifikke behandling? På en skala fra 1 til 5
- Prioriter indsatsen - en ting ad gangen og det vigtigste først
- Koncentrer jeres indsats for forbedringer, der hvor I har fået mange 5'ere
Forbedringsinitiativer
Når risikovurderingen er udarbejdet, skal I etablere det sikkerhedsniveau, som passer til de identificerede risici. Det er som udgangspunkt op til jer selv at vurdere, hvilke foranstaltninger der skal gennemføres.
Indholdsansvarlig
Datakonsulenten