Datatilsynets anbefalinger efter spørgeskema-baseret tilsyn

Datatilsynet har foretaget en række spørgeskema-baserede tilsyn hos kommuner og private virksomheder inden for hotel- og forsikringsbranchen, der er mundet ud i en række konkrete anbefalinger, som andre brancher også kan have gavn af at sætte sig ind i.

Datatilsynets modenhedsanalyse

Datatilsynet har som noget nyt gennemført en række spørgeskema-baserede tilsyn med henblik på at belyse den generelle modenhed på informationssikkerhedsområdet hos 11 kommuner og 19 private virksomheder inden for hotel- og forsikringsbranchen.

De dataansvarlige inden for de tre forskellige brancher blev bl.a. spurgt til implementeringen af en række sikkerhedsforanstaltninger, herunder hvorvidt de har sikret en procedurebeskrivelse for håndtering af persondatabrud samt etableret beredskabsplaner for håndtering af situationer, hvor behandlingssikkerheden påvirkes.

På baggrund af disse spørgeskema-baserede tilsyn har Datatilsynet oplistet konkrete anbefalinger til de dataansvarlige for hver af de tre brancher i forhold til arbejdet med informationssikkerhed, som også andre virksomheder og organisationer kan have gavn af at læse.

Datatilsynets konkrete anbefalinger

Datatilsynet har på baggrund af de udfyldte spørgeskemaer vurderet de dataansvarliges overordnede håndtering af behandlingssikkerheden og sammenholdt det med karakteren af de behandlinger, som de dataansvarlige varetog.

Fælles for kommuner, forsikrings- og hotelbranchen anbefaler Datatilsynet, at:

• Ledelsen bør involveres aktivt i arbejdet med databeskyttelse og informationssikkerhed, bl.a. ved at sikre at organisationens risikovurderinger, politikker og årshjul er opdaterede og retvisende, og ved at sikre at medarbejderne er tilstrækkeligt trænede i sikker behandling af personoplysninger, samt at organisationen er i stand til at opdage usædvanlig, uhensigtsmæssig eller ulovlig adfærd.
  
• Der skabes et overblik over behandlingsaktiviteter og de risici for de registrerede, der er forbundet med behandlingsaktiviteterne, og etableres strukturerede arbejdsgange til regelmæssigt at evaluere tiltag inden for databeskyttelse og informationssikkerhed.
• Adgange til systemer og databaser, hvor der opbevares og behandles personoplysninger, beskyttes, og beskyttelsen evalueres, med henblik på at opdage uhensigtsmæssig eller ulovlig adfærd og sikre effektive foranstaltninger.
• Der foretages regelmæssig kontrol med databehandlere.
• Beredskab og beredskabsplaner afprøves men henblik på at vurdere om de er virkningsfulde og effektive til at reetablere drift under angreb og til at håndtere hændelser.

Mens Datatilsynet blot anbefaler, at forsikringsselskaber arbejder videre med håndtering og analyse af kendte og gentagende brud på persondatasikkerheden med henblik på at undgå gentagelser og forebygge lignende brud, anbefaler tilsynet særligt, at kommuner og hotelvirksomheder foretager forebyggende foranstaltninger på dette område.

Tilsynet anbefaler, at kommuner og hotelvirksomheder forebygger utilsigtet offentliggørelse og/eller videregivelse af personoplysninger til uvedkommende ved kommunikation, som er den mest udbredte type af sikkerhedsbrud jf. Datatilsynets statistik.

Har I spørgsmål til, hvordan I bedst følger Datatilsynets anbefalinger, er I mere end velkomne til at kontakte os.

Hos EY finder du specialister indenfor databeskyttelsesret og it-sikkerhed, og vi kan bistå med den fulde pallette indenfor GDPR-rådgivning, herunder også i relation til implementering af sikkerhedsforanstaltninger.

Hvis I ønsker en uforpligtende drøftelse af jeres nuværende status for jeres arbejde med informationssikkerhed, herunder en drøftelse af, hvorledes I bør prioritere jeres indsats og ressourcer fremadrettet, kan I med fordel række ud til os.

Kontakt:

Bodil Hald Brabæk, Director, Head of Data Privacy, EY Law, tlf. 2529 3268
Pernille Kristensen, Senior Manager, Data Privacy, EY Law, tlf. 2529 5929