Risikovurderinger

Ifølge databeskyttelsesforordningen skal vi foretage en risikovurdering på alle behandlinger af personoplysninger. Det betyder blandt andet også en risikovurdering af alle systemer, der behandler personoplysninger.

En risikovurdering kigger på sandsynligheden for sikkerhedsbrud inden for tre begreber. Fortrolighed (ingen uvedkommende må have adgang), Tilgængelighed (Rette vedkommende skal have adgang) og Integritet (Oplysninger skal være opdateret og korrekte).

Det er systemejerens ansvar, at der bliver foretaget disse risikovurderinger. Er der tale om behandlinger uden for it systemer, er det den pågældende afdelingschef, der har ansvaret for risikovurderingen af behandlingerne.

Risikovurderinger er ikke et nyt fænomen. IT har gennem flere år lavet årlige risikovurderinger og konsekvensanalyser på de, af IT udvalgte, mest kritiske systemer (aktiver) og efterfølgende samlet dem i en risikorapport til revisionen. Fremover vil denne rapport stadig blive genereret af IT, men på baggrund af de risikovurderinger, der bliver foretaget af systemejer/afdelingschef.

I Aabenraa Kommune har vi valgt at bruge Wired Relations (link nederst på siden) til gennemførsel af risikovurderinger. Dette for at gøre det nemt og overskueligt - både for den der skal udføre risikovurderingen, men også for Informationssikkerhedsudvalget (ISU), når der skal aflægges rapport. 

Risikovurderingerne skal ajourføres årligt - eller i tilfælde af sikkerhedshændelser. Samtidig skal alle nyindkøb igennem en risikovurdering FØR man indgår kontrakten. I visse tilfælde kan det være nødvendigt at få en godkendelse af Datatilsynet inden man må tage et system i brug, hvorfor det er yderst vigtigt, at denne godkendelse og herunder risikovurdering er foretaget inden kontraktunderskrivelse.