Risikoanalyse af implikationer for privatlivets fred



Relaterede dokumenter
Struktur på privatlivsimplikationsrapporten

Pixiguide til udarbejdelse af konsekvensvurdering

Guide til konsekvensvurdering af privatlivsbeskyttelsen

Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3.

Kriterier for kontrol af overensstemmelse med lovgivning

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala

Screeningsspørgsmål til udarbejdelse af PIA i mindre skala

spørgsmål vedrørende privatlivets fred

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Identificering og imødegåelse af farer og risici

Vejledning i it-risikostyring og -vurdering. Februar 2015

RFID teknologien 4 Privacy & Sikkerhed. Henrik B. Granau

EU Kommisionens RFID henstilling.

Vejledning om risikovurdering af IT-projekter

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Bilag 2 til. 6.1 Sikkerheds Element Metoden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

Interviewskema Udgangspunkt

Signifikant 1. Omfattende påvirkning (positiv/negativ) 2. Moderat påvirkning (positiv/negativ) 3. Mindre påvirkning (positiv/negativ)

Informationsproces når persondata er blevet kompromitteret

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Privatlivsimplikationsanalyse (PIA) for RFID.

Elementerne udføres ikke rent hver for sig men er hele tiden dynamisk afhængig af hinanden.

Retningslinje om risikovurdering

Formålet med denne retningslinje er at sikre, at Nykøbing Katedralskole foretager den fornødne risikovurdering ved behandling af personoplysninger.

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

IMPLEMENTERINGS- MODEL

Organisatorisk og teknisk implementering af GDPR i Rigsarkivet. Fagligt forum 3. september 2019 Jan Dalsten Sørensen Rigsarkivet

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Hvordan man lærer seniorer at bruge digital teknologi

Teknologianvendelse og persondataloven. Indlæg på konferencen PrivatTek v/kontorchef, cand. jur. Lena Andersen Datatilsynet

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Styrelsen for Arbejdsmarked og Rekruttering (STAR) har den 17. april 2019 fremsendt ovennævnte decisionsskrivelse.

Notat til Statsrevisorerne om beretning om udviklingen af de nationale test. Februar 2012

Valgfri protokol til konventionen om rettigheder for personer med handicap De i denne protokol deltagende stater er blevet enige om følgende:

Sikkerhedsvurderinger

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Administrationsgrundlaget for kontrolopgaven i Holbæk Kommune

Formålet med denne retningslinje er at sikre, at Midtfyns Gymnasium foretager den fornødne risikovurdering ved behandling af personoplysninger.

Data protection impact assessment

Udpegning af små vandløb i vandplanerne er sendt i høring - hurtig guide i at afgive høringssvar

SECOND OPINION RISIKOVURDERING FOR DNV, GØDSTRUP

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

Guide til awareness om informationssikkerhed. Marts 2013

Anmeldelser per måned

ASSET MANAGEMENT SWECO DANSK FJERNVARME. Rune Reid Thranegaard 1

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Socialtilsyn Afrapportering af auditforløb

Referat af bestyrelsesmøde i Hjørring Vandselskab A/S

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

Miljøministeriet Naturstyrelsen. Måde Havnedeponi. Bilag 1. Vurderingsmetode. Juni 2013

RISIKOVURDERING I PRAKSIS

Indholdsfortegnelse Afprøvning af Leverancen Fællesregler for afprøvning Fejl! Bogmærke er ikke defineret. Installationsprøve Delleveranceprøve

Risikovurdering ved projektering. Vejledning og paradigma udarbejdet af Jan Nygaard Hansen NIRAS, 2017

DEN FÆLLES KONTROLINSTANS FOR EUROPOL. Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35)

Vejledning i risikovurdering

Privatlivsfremmende teknologier (PETs)

IT-sikkerhedspolitik S i d e 1 9

Politik <dato> <J.nr.>

IFRS 9 - Nye bestemmelser om nedskrivning på udlån på vej

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Sammenligningsrapport. til Kathryn Peterson, som samarbejder med Martin Gilmore

BILAG 14: DATABEHANDLERAFTALE

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER MEDDELELSE FRA KOMMISSIONEN. om et europæisk program for beskyttelse af kritisk infrastruktur

Statsforvaltningen har gennemgået Valgbarhedsnævnets afgørelse af 4. juni 2012 og referat fra byrådets møde den 25. april 2012 uden overstregninger.

Consumer Policy Toolkit. Forbrugerpolitisk toolkit. Summary in Danish. Sammendrag på dansk

Rapport Acceptkurve - Kvantitative Kriterier for Risikoaccept. Introduktion

Hvad er Informationssikkerhed

Volds- og mobbepolitik ved Haderslev Kommune

KOMMISSIONENS HENSTILLING. af

STRATEGI FOR CONSUMERISATION AF VIRKSOMHEDENS IT SKAL AFGØRES UD FRA FORRETNINGSVÆRDI OG ORGANISATIONENS PARATHED

Konsekvensanalyse vedrørende databeskyttelse

1.1 Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Vejledning om Ansvarlige Investeringer

IMPLEMENTERINGSMODEL PROTOTYPE 2017

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

Tilføjelse til læseplan i samfundsfag. Forsøgsprogrammet med teknologiforståelse

KOMPETENT KOMMUNIKATION

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

DATABEHANDLERAFTALE [LEVERANDØR]

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Hvordan sikres troværdigheden af kliniske retningslinjer?

IT-SIKKERHEDSPOLITIK UDKAST

Guide til FMEA-metoden - Region Nordjylland

Kvalitetsmodel for socialtilsyn

Risikovurdering I praksis

Justitsministeriet Slotsholmsgade København K Danmark. Att. Lovkvalitetskontoret

Rsikostyring - Vejledning til risikolog

Kontraktbilag 3. Databehandleraftale

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Handlinger til adressering af risici og muligheder Risikovurdering, risikoanalyse, risikobaseret tilgang

PIA-screening Vejledningsmateriale marts 2010

Transkript:

Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen

INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred... 3 Metode for risikovurdering... 3 Risikovurdering... 6 Tiltag til minimering af risici... 7 Samlet vurdering... 8 Side 2/8

RISIKOVURDERING AF IMPLIKATIONER FOR PRIVATLIVETS FRED Gennemgangen af genstandsområdet for privatlivsimplikationsanalysen identificerer en række problemområder, hvori der findes implikationer for privatlivets fred. Der kan med fordel foretages en risikoanalyse ud fra betragtninger om konsekvens, sandsynlighed og motivation. Terminologien og fremstillingen af risikoanalysen søger at bidrage til den samlede privatlivsanalyse ved at fremhæve, på hvilke områder (og måder indenfor disse områder) et projekt indebærer eller kan indebære mindre privatlivsbeskyttelse. Risikoanalysen præsenterer elementer, som allerede er lagt ind i løsningen til at adressere problemområderne, og der kigges på eventuelle andre muligheder for yderligere konkrete tiltag til ændring af løsningens design. Risikoanalysen munder ud i en samlet vurdering af risikoen ved implikationer for privatlivets fred i den pågældende løsning. Såfremt der er tale om en middel eller højere risiko bør den samlede vurdering kvalificere det forretningsgrundlag eller samfundshensyn, der berettiger til en forringelse af privatlivet. Endelig bør en delmængde være vurdering af, om offentligheden vil kunne acceptere konceptet. Side 3/8 Metode for risikovurdering Følgende præsenteres en kvalitativ risikoanalyse, der kategoriserer risikoen for en given hændelse med udgangspunkt i følgende aspekter: - Sandsynligheden for, at hændelser på et identificeret risikoområde for beskyttelsen af privatlivets fred indtræffer - Konsekvensen af, at en hændelse optræder - Motivationen for at forårsage hændelsen. Motivation er typisk personligt eller økonomisk drevet. For økonomisk vinding vil der typisk være en større gruppe af individer, der har motivation til at udføre hændelsen Konsekvens beskrivelse i henhold til Vejledning om risikovurdering på en firetrins skala 1 : Konsekvens (betegnelse) Beskrivelse K1: Ubetydelig Ingen særlig påvirkning. K2: Mindre alvorlig Der er formelle mangler i oplysninger til og om den enkelte, men ikke i graverende grad. 1 Vejledning om risikovurdering for offentlige institutioner,, oktober 2007.

K3: Meget alvorlig (kritisk) Den enkelte fratages råderet og valgmulighed med hensyn til egne data. Ikke følsomme data videregives uretmæssigt. K4: Graverende / uacceptabel (ødelæggende) Den enkelte udsættes for uacceptable krænkelser af privatlivet. Der træffes bebyrdende afgørelser mod den enkelte på et forkert grundlag. Følsomme data videregives uretmæssigt. Sandsynlighed betegner muligheden på en 5 punkts skala for, at der indtræffer en hændelse, der krænker beskyttelsen af privatlivet på et identificeret risikoområde. Sandsynlighed (betegnelse) Beskrivelse S1: Ingen Sikkerhedsværn og privatlivsbeskyttelse er etableret og fungerer efter hensigten. Side 4/8 S2: Lav Sikkerhedsværn og privatlivsbeskyttelse er etableret og fungerer efter hensigten. Tiltag kan brydes af egne medarbejdere med gode ressourcer og kendskab. Eksterne personer kan med meget gode ressourcer og kendskab omgås foranstaltninger. S3: Middel Sikkerhedstiltag og privatlivsbeskyttelse er ikke fuldt etableret eller fungerer ikke efter hensigten. Egne medarbejdere kan omgås tiltag med normale ressourcer, eksternt personel kan omgås tiltag med kendskab til rutiner og små ressourcer. S4: Høj Sikkerhedstiltag og privatlivsbeskyttelse er ikke systematisk etableret og kan omgås af egne medarbejdere og eksterne personer må få eller ingen ressourcer. S5: Sikker Der er ikke truffet forebyggende foranstaltninger af nogen art. Motivation er en medvirkende faktor i vurderingen af det samlede risikoniveau for mulige hændelser indenfor et givent område. Motivation, eller incitamentsfaktoren, kvalificeres ud fra følgende 5 punkts skala for, om hændelsen kan ske på baggrund af overlæg, forsæt eller uagtsomhed, samt de krævede ressourcer i forbindelse hermed.

Motivation (betegnelse) Beskrivelse M1: Meget høj Hændelse til krænkelse af privatlivets fred kan ske på basis af overlæg med store ressourcer og kræver således høj motivation for udførelse. M2: Høj Hændelse til krænkelse af privatlivets fred kan ske på basis af forsæt med store ressourcer for interne medarbejdere, men kræver høj kompetence og overlæg for eksterne personer. M3: Middel Hændelse til krænkelse af privatlivets fred kan ske på basis af forsæt med små ressourcer for interne medarbejdere, men kræver dog høj kompetence og forsæt for eksterne personer. M4: Lav Hændelse til krænkelse af privatlivets fred kan ske på basis af uagtsomhed for interne medarbejdere, men kræver dog nogen kompetence og forsæt for eksterne personer. Side 5/8 M5: Ingen Hændelse til krænkelse af privatlivets fred kan ske på basis af uagtsomhed, og kræver ingen speciel motivation eller ressourcer til udførelse. Konsekvens, sandsynlighed og motivation danner de samlede risiko for, at en given hændelse indenfor et identificeret risikoområde forekommer. Risikoen kategoriseres efter en skala på fem trin: Risiko (betegnelse) Beskrivelse R1: Ingen Et højt niveau af beskyttelse af privatlivets fred, som væsentlig overvurderer informationens sensitivitet. : Lav Et stærkt niveau af beskyttelse af privatlivets fred, som vurderer informationens sensitivitet højt. R3: Middel Et passende niveau af beskyttelse af privatlivets fred, som afspejler informationens sensitivitet.

R4: Høj Et ringe niveau af beskyttelse af privatlivets fred, der vurderer informationens sensitivitet lavt. R5: Meget høj Et kritisabelt lavt niveau af beskyttelse af privatlivets fred, som væsentligt undervurderer informationens sensitivitet. Det påpeges, at en risikovurdering er et øjebliksbillede. Det er en del af anbefalingerne til udførelse af en PIA, at vurderingen opdateres og vedligeholdes løbende. Dette ansvar påhviler opdragsgiver. Risikovurdering Problemområder identificeres ud fra den foregående analyse i PIA på processer, der inddrager behandling af personoplysninger. Problemområderne opstilles i efterfølgende matrice, der giver det samlede risikobillede for hvert område. Side 6/8 Risikoområde Mulige trusler til privatlivet Begrundelse for udformning K S M Risikovurdering 1 2 3.. N

Matricen skal klart fremstille de måder og områder, hvor et projekt kan indebære en mindsket privatlivsbeskyttelse, og i kolonnen Begrundelse for udformning klart argumentere for, hvorfor funktionaliteten eller anvendelsen er berettiget for systemet. Tiltag til minimering af risici I den efterfølgende matrice, der opstiller problemområder, bør der identificeres tiltag til minimering af risici indenfor identificerede risikoområder, både tiltag allerede adresseret i løsning, samt yderligere tiltag. Som udgangspunkt bør overvejes tiltag, der forøger valgmulighederne for brugeren og mindsker afgivelsen af personoplysninger. Muligheden for inddragelse af eventuelt relevante privatlivsfremmende teknologier bør afvejes. Tiltag kan opstilles i følgende matrice: Risikoområde Mulige trusler til privatlivet Allerede etablerede tiltag Mulige andre tiltag Ny risikovurdering Side 7/8 R1 Formålet med denne matrice er at præsentere de elementer, som allerede er lagt ind i løsningen til at adressere problemområderne samt andre muligheder for yderligere konkrete tiltag til ændring af løsningens design, herunder især hvad implementeringen af yderligere tiltag vil betyde for risikovurderingen for hvert af problemområderne.

Samlet vurdering På basis af foregående laves den overordnede vurdering af risikoen for beskyttelsen af privatlivets fred. Vurderingen skal præsentere den samlede risikovurdering for systemet og kvalificere denne ved kort og præcist at redegøre for følgende 6 punkter: 1. På hvilke områder og måde kan projektet medføre en mindsket privatlivsbeskyttelse? 2. På hvilke områder kan en forringelse af privatlivsbeskyttelsen ikke undgås og hvad er det forretningsgrundlag eller samfundshensyn, der berettiger forringelsen af privatlivet? 3. På hvilke områder kan løsningens design ændres, så konsekvenserne afbødes eller formindskes? 4. Hvilke elementer er allerede inddraget i løsningen til at mindske krænkelser af privatlivet? Side 8/8 5. Hvilke andre elementer kan inddrages i løsningen til yderligere at mindske krænkelser af privatlivet og vil dette føre til en ændret risikovurdering? 6. Kan offentligheden acceptere løsningen i sin nuværende udformning? 7. Kan offentligheden acceptere løsningen, hvis yderligere elementer til mindskelse af privatlivets fred inddrages?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback