En digital beredskabsplan
I skal som virksomhed altid kunne redegøre for deres risikoovervejelser, herunder hvor stor en risiko der er for databrud, og hvilke konsekvenser dette brud måtte have for de registrerede personer.
Både jer som dataansvarlig og en eventuel ekstern databehandler skal være i stand til at påvise, at behandlingen af data lever op til kravene. Faktisk skal I som dataansvarlig allerede før selve databehandlingen have kortlagt den potentielle risiko for de registreredes rettigheder.
Ethvert brud skal vurderes særskilt
Et eksempel kunne være et hackerangreb, hvor kundenavne og -adresser er blevet hacket. Selvom det lyder kritisk, vil det sjældent have nogen alvorlige konsekvenser for de registrerede personer – med mindre de altså har hemmelige adresser.
I et sådant tilfælde vil I som virksomhed formentlig kunne nøjes med at henvise til den interne fortegnelse, der dokumenterer, at der ikke er følsomme, særlige eller fortrolige oplysninger i hverken IT-systemer eller fysiske registre, og at I derfor har vurderet, at risikoen er meget lav.
Følsomme data kræver mere
Men har I som virksomhed følsomme eller fortrolige oplysninger, som efter gængs opfattelse ikke bør offentliggøres, skal I passe særligt godt på disse oplysninger. I så fald er det vigtigt, at I skriftligt kan dokumentere de overvejelser, der ligger bag den risikovurdering, der igen danner grundlag for de sikkerhedsforanstaltninger, I har truffet.