GDPR-riskiarviointi – onko se todella niin kauheaa?

Palvelus

Henkilötietoja käsittelevän organisaation tulee kehittää ja ottaa käyttöön asianmukaiset menettelyt henkilötietojen suojan varmistamiseksi. Jokaisen tietyn organisaation työntekijän tulee olla koulutettu ja perehdyttävä tehtäviinsä henkilötietojen suojan alalla. Vain työntekijät, jotka ovat tietoisia tehtävistään, voivat soveltaa sovellettavia menettelyjä oikein. Jotta voidaan toteuttaa asianmukaisia ​​toimenpiteitä henkilötietojen suojaamiseksi, riskinarviointi ja -analyysi auttavat varmasti. Mikä on GDPR:n riskiarviointi?

Riskiperusteinen lähestymistapa GDPR:n mukaisesti

Riskilähtöinen lähestymistapa on riskin huomioiminen toiminnan jokaisessa vaiheessa (suunnittelu, toteutus, toteutus, parantaminen).

Tärkeä!

GDPR:n tapauksessa riskejä ovat kaikki tapahtumat, jotka vaarantavat henkilötietojen turvallisuuden.

Henkilötietojen suojan rikkomisella tarkoitetaan tietoturvaloukkausta, joka johtaa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan luovuttamiseen tai luvattomaan pääsyyn.

Henkilötietojen tietomurron estämiseksi yritysten tulee tehdä riskianalyysi. Se tehdään riskiarvioinnin perusteella.

Mikä on riskinarviointi GDPR:ssä?

Riskinarviointi GDPR:ssä on prosessi, jossa riskianalyysin tuloksia verrataan riskikriteereihin (esim. riskin merkitys, sen esiintymistiheys) sen määrittämiseksi, onko tietty riski tai sen suuruus hyväksyttävä vai ei-hyväksyttävä. Riskinarvioinnin vaikutus on sen laadullinen arvio (esim. "vähäinen", "matala", "suuri") tai sen koon kvantitatiivinen kuvaus (hyväksytyssä kynnysasteikossa, esim. 0-2, 3-5, 6-10) .

Riskiarvioinnin perusteella yritys voi ryhtyä asianmukaisiin toimenpiteisiin sen vaikutusten ehkäisemiseksi tai minimoimiseksi - yhtiön tunnistaman henkilötietojen suojaamiseen liittyvän riskin suuruuden ja todennäköisyyden mukaisesti.

GDPR:n riskiarviointia tulisi edeltää sen analyysi. Se on arvio aiemmin tunnistettujen riskien toteutumisen todennäköisyydestä ja vaikutuksista.

Miten riskianalyysi tehdään?

Riskinarviointi GDPR:ssä on yrityksessä esiintyvien uhkien tunnistamista henkilötietojen suojaamiseksi. Suorittaaksesi analyysin sinun tarvitsee vain:

  • tehdä luettelo käsitellyistä henkilötiedoista (katsoa joka paikkaan, olipa se sitten tietokoneessa tai kaapissa, jossa henkilötietoja kerätään) ja määritellä näiden tietojen käsittelyn tarkoitus,

  • määrittää kunkin käsittelyn osalta, käsitelläänkö tietoja laillisesti ja millä oikeusperustalla,

  • määritellä luettelo uhista, jotka voivat johtaa henkilötietojen suojan rikkomiseen, kuten hakkerointihyökkäys, luvaton pääsy, rakennukseen murtautuminen,

  • määrittää tietyn riskin todennäköisyys (esim. sen menneisyyden esiintymistiheyden perusteella),

  • määrittää tietyn riskin olemuksen ja painoarvon – esimerkiksi vahingon määrän, jonka tämä tapahtuma voi aiheuttaa rekisteröidylle,

  • kuvata tietyn riskin toteutumisen seurauksia, esim. henkilötietojen suojaa koskevan oikeuden loukkaaminen, yksityisyyden oikeuden loukkaus,

  • määritellä (korjaavat) toimenpiteet riskin syntymisen estämiseksi tai, jos sitä ei voida välttää, toimenpiteet riskin minimoimiseksi, esim. virustorjuntaohjelmiston käyttö, rakennushälytys.

GDPR:n riskianalyysin avulla voit tarkastella huolellisesti uhkia, jotka ovat yritykselle uhkaavimpia ja vaativat välitöntä toimintaa.

Riskianalyysiä voidaan verrata tietoturvan hallintajärjestelmään (ISMS) – ja GDPR ja ZBI ovat riskien tunnistamista ja asianmukaisten toimenpiteiden soveltamista tietoturvan suojaamiseksi. Rekisterinpitäjä, esimerkiksi yrittäjä, päättää, mitä turvatoimia sovelletaan - GDPR ei anna tässä konkreettisia esimerkkejä, koska se, mikä voi koskea yksityistä yritystä, ei koske yhteisöä. Jokaisella yrityksellä on erilainen liiketoimintaprofiili, jossakin jotkin tiedot voivat olla alttiimpia riskeille ja niiden rikkomisella voi olla kriittinen vaikutus tiettyyn henkilöön, kun taas toisessa tässä suhteessa rikkomus voi olla minimaalinen uhka kohteena olevalle henkilökohtaiset tiedot. Siksi yritysten tulee määritellä toimintansa laajuuteen, tietojenkäsittelyn tyyppiin, tietyn uhan riskiin ja taloudellisiin mahdollisuuksiinsa sopivat ratkaisut (esim. pienellä yrityksellä ei ole varaa soveltaa samoja ratkaisuja kuin suurella yrityksellä ). Ainoa GDPR:n tältä osin asettama vaatimus on, että tietoturvan varmistamiseksi ehdotetut ja sovelletut ratkaisut ovat tehokkaita ja suojaavat rekisteröityjä.

Riskianalyysi ja -arviointi GDPR:ssä - esimerkki

Esimerkki GDPR:n riskianalyysi- ja arviointilomakkeesta voi näyttää tältä:

   

Riski - tapahtuman mahdollisuus, jolla on vaikutusta henkilötietojen suojan rikkomisen riskiin. Riski tulee huomioida ottamalla huomioon ulkoiset tekijät (tapahtumat, joita voi tapahtua, mutta jotka eivät riipu yrityksen toiminnasta) ja sisäiset tekijät (tapahtumat, joihin yritys vaikuttaa).

Riskilähteet - nämä ovat tilanteita, jotka voivat aiheuttaa tietyn uhan esiintymisen

Riskin toteutumisen vaikutus - tunnistamalla, mitä voisi tapahtua, jos tietty riski ilmenee, voit kirjata tähän vahingon määrän, jonka tapahtuma voi aiheuttaa rekisteröidyille ja vaikutukset yritykseen.

Riskinarviointi GDPR:ssä – tämä määrittää, onko tietty riski hyväksyttävä vai ei. Riskienarviointi tehdään useimmiten yrityksen määrittelemien kriteerien perusteella, se voi olla esimerkiksi tietyn riskin esiintymistiheyden tai todennäköisyyden sekä sen olemuksen ja vakavuuden arviointia.

Suositeltava ratkaisu on määrittää turvatoimenpiteet tietyn riskin estämiseksi.

Toimien tehokkuus - se on arvio siitä, osoittautuivatko sovelletut ehkäisevät toimet tehokkaiksi.

Riskinhallintasuunnitelmien päivitys - jos sovelletut turvatoimenpiteet eivät ole osoittautuneet tehokkaiksi, määritä tähän kenttään toinen menetelmä, joka ehkäisee tai minimoi riskin.

Muista, että riskit muuttuvat ajan myötä ja edellyttävät uusia korjaavia toimenpiteitä, joten on tärkeää tarkistaa dokumentti säännöllisesti (riskianalyysin seuranta) sekä analysoida ja arvioida riskejä jatkuvasti. Ei riitä, että asiakirja laaditaan vain kerran.

Riskien arviointi GDPR:ssä ja vastuullisuusperiaatteessa

Riskiperusteisen lähestymistavan periaate liittyy läheisesti vastuullisuuden periaatteeseen. Jälkimmäinen edellyttää, että riskinarviointi ja -analyysi tehdään ja dokumentoidaan - sen osoittamiseksi, että riski on arvioitu ja asianmukaiset suojatoimenpiteet toteutettu.

Vastuullisuusperiaate tarkoittaa asianmukaisten (teknisten ja organisatoristen) toimenpiteiden toteuttamista, joilla varmistetaan, että käsittely on GDPR:n mukainen, ja valmiutta osoittaa tämä noudattaminen valvontaviranomaiselle tai valvontaviranomaisille, joiden tietoja käsitellään.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Riskinarviointi GDPR:ssä ja tietosuojavaikutusten arviointi

Tietojen käsittelyn turvallisuudesta, mukaan lukien henkilötiedot, olisi tehtävä yleinen riskiarviointi ottaen huomioon mahdolliset kielteiset vaikutukset (aineelliset ja aineettomat menetykset) sekä rekisterinpitäjälle että rekisteröidyille.

DPIA:ssa voidaan käyttää samaa työnkulkua kuin yleisessä riskinarvioinnissa korostaen jokaisessa vaiheessa ne tekijät, joilla on merkittävä vaikutus tietosuojaloukkauksen mahdollisiin vaikutuksiin rekisteröityihin.

Tietosuojavaikutusten arviointi olisi suoritettava, jos "tavanomaisen" analyysin ja riskinarvioinnin perusteella havaitsemme, että rekisteröityjen oikeuksien ja vapauksien loukkaamisen riski on suuri.

Kaikkien tahojen ei tarvitse tehdä tietosuojavaikutusten arviointia. Tämä arviointi on suoritettava seuraavissa tilanteissa:

  • arviointi ja pisteytys - profilointi ja ennustaminen, erityisesti koskien tietoja, kuten terveys, kiinnostuksen kohteet, sijainti,

  • automaattinen päätöksenteko, jolla on oikeusvaikutuksia,

  • järjestelmällinen seuranta, jonka tarkoituksena on tarkkailla henkilötietojen kohdetta (esim. hotellissa, huoltoasemalla, ravintolassa jne.),

  • arkaluonteisten henkilötietojen käsittely,

  • laajamittainen tietojenkäsittely,

  • teknisten innovaatioiden käyttö tietojenkäsittelyssä (esim. biometriikka),

  • tiedonsiirto Euroopan unionin ulkopuolelle.

DPIA:ssa voidaan käyttää samaa työnkulkua kuin yleisessä riskinarvioinnissa korostaen jokaisessa vaiheessa ne tekijät, joilla on merkittävä vaikutus tietosuojaloukkauksen mahdollisiin vaikutuksiin rekisteröityihin.

Rekisterinpitäjä (esim. yrittäjä) päättää itsenäisesti, tarvitaanko tietosuojavaikutusten arviointia.

Yksityiskohtaiset tiedot vaikutustenarvioinnista löytyvät artikkelista: Mikä on tietosuojavaikutusten arviointi?