DAEN

MENU

Brug af personoplysninger til testdata kræver fokus på sikkerheden

Datatilsynet indskærpede i en afgørelse, at dataansvarlige og databehandlere ved brug af personoplysninger i forbindelse med udvikling og test skal være særligt opmærksomme på sikkerheden, og angiver i denne forbindelse en række kriterier for risikovurderingen i relation til de registreredes rettigheder.

Datatilsynet indskærpede i en afgørelse, at dataansvarlige og databehandlere ved brug af personoplysninger i forbindelse med udvikling og test skal være særligt opmærksomme på sikkerheden, og angiver i denne forbindelse en række kriterier for risikovurderingen i relation til de registreredes rettigheder.

Kritik af mangelfuld risikovurdering

Datatilsynet har gennemført et skriftligt tilsyn med virksomheden SDC A/S. Fokus for tilsynet var brug af personoplysninger til testdata, og herunder særligt i relation til, hvorvidt der var foretaget tilstrækkelig risikovurdering af de registreredes rettigheder i forbindelse hermed.

Datatilsynet fandt ved denne anledning lejlighed til at udtale kritik af den måde, hvorpå SDC A/S håndterede personoplysningerne på, da tilgangen hertil ikke var risikobaseret.

Kriterier for risikovurderingen

Datatilsynet indskærpede i afgørelsen, hvilke krav, der stilles til vurderingen af, om der er etableret passende sikkerhedsforanstaltninger. Der er tale om minimumskrav, og vurderingen skal derfor omfatte:

  • Relevante trusler mod fortroligheden, tilgængeligheden og integriteten af de oplysninger, der behandles om de registrerede.
  • For hver trussel: Sandsynligheden for at den enkelte trussel er reel for den pågældende behandlingsaktivitet.
  • For hver trussel: De mulige konsekvenser for de registrerede.

Risikoen for de registreredes rettigheder kan herefter vurderes på baggrund af sandsynligheden og konsekvensen for den enkelte trussel. Eventuelle eksisterende foranstaltninger skal ligeledes tages i betragtning.

Relation til Datatilsynets oplysningsskema

Datatilsynet har udfærdiget et oplysningsskema vedrørende personoplysninger, som behandles til testformål. Skemaet anvendes i forbindelse med Datatilsynets virksomhedstilsyn, således at tilsynet kan danne sig et overblik over, hvilke overvejelser virksomheden har gjort sig om brugen af personoplysninger til dette formål.

Skemaet indeholder bl.a. en række spørgsmål om baggrunden for anvendelsen af personoplysninger som testdata, hvilke procedurer og sikkerhedsforanstaltninger, der er iværksat, samt mere specifikke spørgsmål ved brug af personoplysninger som testdata ved konkrete it-systemer.

De kriterier, som Datatilsynet har opstillet i den ovennævnte afgørelse, fungerer som et supplement til spørgsmålene i dette oplysningsskema. Der er således tale om yderligere overvejelser, som dataansvarlige og databehandlere er nødt til at gøre sig, når de behandler personoplysninger til testformål.

Kommende vejledning for brug af testdata

Datatilsynet forventer at offentliggøre en vejledning om testdata inden udgangen af året. Indtil denne vejledning foreligger, er det vigtigt, at dataansvarlige og databehandlere har fokus på særligt to ting:

  1. Når personoplysninger behandles til testformål, skal samtlige Datatilsynets kriterier fra oplysningsskemaet og afgørelsen inkluderes i vurderingen af risikoen for de registreredes rettigheder. Hvor risikoen er høj, er det særligt vigtigt, at der foretages en analyse af konsekvenserne for de berørte personer.
  2. Der skal etableres passende sikkerhedsforanstaltninger svarende til den identificerede risiko.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.