Dette indlæg er alene udtryk for skribentens egen holdning.

Risikovurdering - et ledelsesansvar

3. maj kl. 05:02
REVI-IT
Illustration: REVI-IT.
Risikovurdering bør være løftestangen, hvis narrativen om GDPR-opgaver i en virksomhed skal ændres, mener partner og administrerende direktør i REVI-IT, Martin Brogaard Nielsen. I dette synspunkt forklarer han hvorfor.
Artiklen er ældre end 30 dage

I mine yngre år kørte adskillige biler rundt med et mærkat i bagruden: ”Har du talt med dit barn idag”? Er du chef, direktions- eller bestyrelsesmedlem i en virksomhed eller en organisation, så er det oplagt, at du stiller dig selv spørgsmålet: Hvornår har vi senest talt om og foretaget en risikovurdering om vores datahåndtering?

Hvad er facit og de enkelte faktorer og resultatet, når vi stiller det op på en enkel ligning: Sandsynlighed x konsekvens = risiko?

Hvis dine svar er tågede, og du ikke på stående fod kan levere svaret på spørgsmålene, så fortvivl ikke. I mange tilfælde opfattes forsvarlig datahåndtering som et perifært ledelsesanliggende; nærmest som en semi-outsourcet opgave, hvor man ledelsesmæssigt antager, at der forhåbentligt er styr på sagerne et eller andet sted i organisationen, og at andre nok har ansvaret for at sandsynlighed, konsekvens og risiko ikke vedrører os.

Dataopgaver skal på linje med ledelsesopgaver

Men forsvarlig datahåndtering og ukonkret risikovurdering er ikke og bør ikke være et halehæng til øvrige ledelsesopgaver. Tværtimod bør det være top of mind hos enhver organisation. For data bliver en stedse mere vital ressource, og i takt med de stigende datamængder øges risikoen for, at data – almindelige eller følsomme – ender i de forkerte hænder.

Artiklen fortsætter efter annoncen

Netop grundet de store konsekvenser, læk og misbrug af data risikerer at medføre, er der de senere år sat en række initiativer i søen med henblik på at beskytte personoplysninger.

Det gælder såvel private tiltag bl.a. i form af ISO-normer og branchestandarder. Det gælder også lovgivningsmæssigt eksempelvis i form af GDPR, der er skabt for at sikre et passende sikkerhedsniveau for de registrerede.

Et centralt aspekt i den forbindelse er risikovurdering. Det følger nemlig bl.a. af GDPR artikel 32 (1), at der skal implementeres passende tekniske og organisatoriske sikkerhedsforanstaltninger under hensyntagen til:

  • Aktuelt teknisk niveau
  • Implementeringsomkostninger
  • Den pågældende behandlings karakter, omfang, sammenhæng og formål
  • Risici af varierende sandsynlighed for de registreredes rettigheder og frihedsrettigheder

GDPR lægger med andre ord op til, at der i de enkelte organisationer skal foretages en afvejning, hvor man på den ene side skal sikre et passende sikkerhedsniveau for de registreredes rettigheder og frihedsrettigheder. Tilsvarende udgør sikkerhedsforanstaltningerne vægtloddet i den anden vægtskål.

Man kan med fordel opdele en risikovurderingsproces i trin:

  1. Etablering af kontekst
  2. Risikoidentifikation
  3. Risikoanalyse
  4. Risikoevaluering
  5. Risikohåndtering

Som dataansvarlig bør man starte med at vurdere de risici, der gælder for den registrerede. Det er her, man både vurderer og dokumenterer, hvad man som organisation anser risikoen for et brud på sikkerheden. Tillægsspørgsmålet er åbenlyst: Hvad man vil gøre for at sikre sig mod det? Man skal have styr på procedurerne.

Er det meget følsomme data, skal procedurerne selvsagt være ekstra finmaskede. Har man sikret sine data teknisk og følger etablerede organisatoriske kommandoveje, kan det være tilstrækkeligt. For så er det foretaget på baggrund af en konkret risikovurdering.

Ved at man taler om risikovurdering og sikrer at emnet drøftes på direktions- og bestyrelsesbordet, kommer man langt. Ved at man konkretiserer emnet og dels tager et løbende ”servicecheck” på den indledende ligning, sikrer man, at ens risikovurdering afspejler de faktiske forhold.

Dermed kan man afpasse de tekniske implementeringer, så er man på sikker grund. Ved at man samtidig dokumenterer ens tiltag – organisatorisk og proceduremæssigt – minimeres både tab af data, følgevirkningerne og risikoen for at man får påbud fra Datatilsynet.

Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger