Vejledning om Behandlingssikkerhed og Databeskyttelse gennem design og standardindstillinger

Faglig nyhedDatabeskyttelsesforordningen stiller krav til, at man som dataansvarlig eller databehandler tilvejebringer tilstrækkelig behandlingssikkerhed, samt at man som dataansvarlig yder databeskyttelse gennem design og standardindstillinger. Datatilsynet har nu udarbejdet en vejledning herom.

Om revisor

Behandlingssikkerhed reguleres i databeskyttelsesforordningens artikel 32 og handler overordnet om, at du som den ansvarlige for databehandlingen – dataansvarlig eller databehandler – tilvejebringer et tilstrækkeligt sikkerhedsniveau for den behandling af oplysninger, du foretager.

Databeskyttelse gennem design indebærer ifølge forordningens artikel 25, at du som dataansvarlig allerede fra tidspunktet, hvor midlerne (f.eks. et nyt it-system) for behandlingen fastlægges, skal gennemføre passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på at sikre en effektiv implementering af de grundlæggende databeskyttelsesprincipper, der fremgår af databeskyttelsesforordningens artikel 5. Kort sagt skal du på forhånd have designet og indrettet din it-mæssige og organisatoriske forretningsunderstøttelse af behandlinger sådan, at forordningens krav og beskyttelseshensyn varetages som en integreret del i hele behandlingsforløbet. Forordningen kræver ikke, at ældre og allerede eksisterende systemer skal re-designes. Dette indebærer derfor, at det er nødvendigt at overveje, om der er behov for nye organisatoriske foranstaltninger for at leve op til kravene.

Datatilsynet har udarbejdet Vejledning om Behandlingssikkerhed og Databeskyttelse gennem design og standardindstillinger, som du kan læse her.