Ifølge databeskyttelsesforordningen skal vi foretage en risikovurdering på alle behandlinger af personoplysninger. Det betyder blandt andet også en risikovurdering af alle systemer, der behandler personoplysninger.

En risikovurdering kigger på sandsynligheden for sikkerhedsbrud inden for tre begreber. Fortrolighed (ingen uvedkommende må have adgang), Tilgængelighed (Rette vedkommende skal have adgang) og Integritet (Oplysninger skal være opdateret og korrekte).

Det er systemejerens ansvar, at der bliver foretaget disse risikovurderinger. Er der tale om behandlinger uden for it systemer, er det den pågældende afdelingschef, der har ansvaret for risikovurderingen af behandlingerne.

Risikovurderinger er ikke et nyt fænomen. IT har gennem flere år lavet årlige risikovurderinger og konsekvensanalyser på de, af IT udvalgte, mest kritiske systemer (aktiver) og efterfølgende samlet dem i en risikorapport til revisionen. Fremover vil denne rapport stadig blive genereret af IT, men på baggrund af de risikovurderinger, der bliver foretaget af systemejer/afdelingschef.

I Aabenraa Kommune har vi valgt at bruge blanketløsningen X-Flow til gennemførsel af risikovurderinger. Dette for at gøre det nemt og overskueligt. Blanketten er bygget op af simple trin og der er hjælpetekster undervejs. På baggrund af disse risikovurderinger vil de mest kritiske systemer blive udvalgt til at gennemgå konsekvensanalyser, der er en mere grundig gennemgang af systemet. Det vil ligeledes være disse kritiske systemer, der fremadrettet vil fremgå af den årlige risikorapport til revisionen og informationssikkerhedsudvalget (DDS). Konsekvensanalyserne vil blive foretaget i Secure ISMS.

Risikovurderingerne skal ajourføres årligt - eller i tilfælde af sikkerhedshændelser. Samtidig skal alle nyindkøb igennem en risikovurdering FØR man indgår kontrakten. I visse tilfælde kan det være nødvendigt at få en godkendelse af Datatilsynet inden man må tage et system i brug, hvorfor det er yderst vigtigt, at denne godkendelse og herunder risikovurdering er foretaget inden kontraktunderskrivelse.

Risikovurderingerne skal journaliseres efter en autoprofil, der skal sikre, at systemejerne har nemt ved at få et overblik over sine egne risikovurderinger og samtidig skal give Databeskyttelsesrådgiveren et nemt overblik over alle kommunens risikovurderinger.