Særligt om IT-risikovurderinger

Vær opmærksom på, at en risikovurdering af de IT-systemer, som du anvender til behandlingen, ikke nødvendigvis er nok. En IT-risikovurdering tager ofte udgangspunkt i risikoen for virksomheden, og den forholder sig ikke nødvendigvis til de menneskelige og organisatoriske trusler, som også skal inddrages i en GDPR-risikovurdering. En menneskelig trussel kan f.eks. være, at medarbejderne ikke låser deres skærm, når de går fra deres computere og dermed giver uvedkommende adgang til personoplysninger.

Sådan udarbejder du en risikovurdering efter GDPR-reglerne

Indsigt

17.02.2025

En risikovurdering er med andre ord en kortlægning og vurdering af de risici og konsekvenser en behandling af personoplysninger kan have for en fysisk person – den registrerede. I denne artikel guider vi dig til, hvordan du udarbejder en risikovurdering, og hvorfor det er vigtigt at have på plads.

Kravet om risikovurderinger skyldes, at der i GDPR stilles krav om et tilstrækkeligt sikkerhedsniveau, og det kan du kun dokumentere, at du har, hvis du har forholdt dig til de trusler, der er mod sikkerheden i dine behandlingsaktiviteter. Her guider vi dig til at udforme din risikovurdering skridt for skridt med alle de elementer, der skal tages med i overvejelserne.

Start med din såkaldte artikel 30-fortegnelse

For at kunne udarbejde en risikovurdering må du vide, hvad det er, du skal risikovurdere. Når det i dette tilfælde handler om GDPR, så er det dine behandlingsaktiviteter, du skal risikovurdere – og dem kan du finde på din artikel 30-fortegnelse.

Vi har samlet en række gode råd til din fortegnelse, så den bliver mere end blot en overholdelse af loven – nemlig et arbejdsredskab, du kan bruge til f.eks. din risikovurdering.

Find guiden til at få større udbytte af din fortegnelse her

Du skal altså have et indgående kendskab til din behandlingsaktivitet og opgave for at kunne risikovurdere. Det betyder, at du skal vide præcist, hvad der sker med personoplysningerne i hele processen – også i de IT-systemer, du anvender til behandlingen.

Få styr på alle trusler

Når du kender dine behandlingsaktiviteter, skal du identificere alle relevante trusler. Du skal spørge dig selv: Hvad kan gå galt?

Forestil dig, at du går en tur igennem behandlingsaktiviteten - hvor og hvordan kan der ske bevidste eller ubevidste fejl? Angreb udefra, systemsvigt eller andet?

Det kan godt være, at du allerede har sikret dig sådan, at nogle af truslerne sandsynligvis ikke vil ske, men det er ikke relevant på dette tidspunkt. Alle trusler inklusive dem, som du allerede har beskyttet dig imod, skal noteres i trusselskataloget.

Sådan identificerer du en trussel

Trusler kan være mange ting:

Medarbejdere, der laver en fejl, ved f.eks. at sende en mail til forkert modtager eller taster forkerte oplysninger ind i et system
Cyberkriminelle, der bryder ind i dine systemer
Opdatering af IT-systemer, der går galt
Systemer, der er designet, så personoplysninger håndteres ulovligt
Strømsvigt, hvor du ikke har adgang til IT-systemerne og dermed ikke har adgang til oplysningerne.

Vi anbefaler, at du drøfter relevante trusler med de medarbejdere, der til dagligt løser opgaven, som du skal risikovurdere, og at du drøfter trusler i IT-systemer med leverandøren og din IT-ansvarlige.

Når du har identificeret alle relevante trusler, skriver du dem ind i din risikovurdering.

Vær opmærksom på, at en risikovurdering af de IT-systemer, som du anvender til behandlingen, ikke nødvendigvis er nok.

En IT-risikovurdering tager ofte udgangspunkt i risikoen for virksomheden, og den forholder sig ikke nødvendigvis til de menneskelige og organisatoriske trusler, som også skal inddrages i en GDPR-risikovurdering.

En menneskelig trussel kan f.eks. være, at medarbejderne ikke låser deres skærm, når de går fra deres computere og dermed giver uvedkommende adgang til personoplysninger.

Sådan gennemgår du alle trusler og vurderer konsekvens samt sandsynlighed

For hver trussel, der fremgår af din risikovurdering, skal du svare på, hvilken konsekvens truslen vil have for den registrerede, hvis den bliver til virkelighed. Du scorer konsekvensen med et tal.

Hos HjulmandKaptain anbefaler vi at score fra 1-4, hvor 1 er ”ubetydelig” og 4 er ”ødelæggende”. Du kan dog sagtens møde risikovurderinger, der scorer fra 1-3, og andre der scorer fra 1-5. Det er en smagssag, hvilken model man anvender.

Når du vurderer konsekvensen, skal du være opmærksom på, at det er konsekvensen for den registrerede, det drejer sig om – altså ikke hvilken konsekvens, det vil have for virksomheden eller dig selv.

Herefter vurderer du sandsynligheden: Igen anvender du et tal fra 1-4. Når du foretager denne vurdering, skal du indtænke alle de sikkerhedsforanstaltninger, du allerede har etableret.

Hvis du blot har planer om at indføre en sikkerhedsforanstaltning, så skal du vurdere sandsynligheden ud fra, at sikkerhedsforanstaltningen ikke eksisterer. Når du så har gennemført sikkerhedsforanstaltningen, kan du genbesøge din risikovurdering.

Det er altså ”her og nu” situationen, du skal vurdere.

Vær opmærksom på, at du ikke må undlade en relevant trussel, bare fordi du allerede har indført sikkerhedsforanstaltninger.

Sådan regner på du risikoen

Den samlede risiko er konsekvens ganget med sandsynlighed. Du kan placere risikoen i nedenstående risikomatrix:

Hvis du udregner risikoen til høj eller meget høj, vil du i mange tilfælde være forpligtet til at udarbejde en konsekvensanalyse.

Læs mere om konsekvensanalyser her

Hvordan skal du forholde dig til resultatet af din risikovurdering?

Når du har regnet på din risiko, skal du forholde dig til, om du kan acceptere risikoen.

Det vil du ofte kunne, hvis risikoen er ”lav” og i mange tilfælde, hvis den er ”mellem”. Du skal dog overveje, om du kan gennemføre yderligere sikkerhedsforanstaltninger, der kan bringe risikoen endnu længere ned.

Specialisternes råd til dig

I tilfælde af tilsyn skal du kunne dokumentere alle dine overvejelser. Det er derfor vigtigt, at du noterer, hvilke overvejelser du har gjort, for at nå frem til resultatet. Det er ikke nok at skrive ”fordi vi (ikke) har tilstrækkelig sikkerhed”. Du skal beskrive, hvorfor I (ikke) har tilstrækkelig sikkerhed.

Ansvaret for at overholde GDPR ligger hos ledelsen af virksomheden. HjulmandKaptain anbefaler derfor, at ledelsen godkender alle risikovurderinger. Hvis ledelsen ikke skal godkende alle risikovurderinger, bør der udarbejdes en politik med retningslinjer for, hvilke risikovurderinger, der kan udarbejdes uden ledelsesgodkendelse.

Er din virksomhed eller organisation omfattet af NIS2?

Skal du være opmærksom på, at der skal lægges et ekstra lag oven på dine risikovurderinger: nemlig en vurdering af risikoen og konsekvenserne for samfundet.

Er din virksomhed eller organisation omfattet af NIS2? Læs mere her

Har du spørgsmål til risikovurderinger eller brug for rådgivning?

Har du spørgsmål til arbejdet med risikovurderinger, brug for konkret rådgivning, eller vil du gerne anvende vores skabelon til at sikre dit arbejde, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.