Sikkerhed ved transmission af personoplysninger

Datatilsynet offentliggjorde den 16. juli en artikel om hvorledes der skal forholdes hvis man anvender SMS. Datatilsynet understøtter med deres artikel, at der er en grund til at de nye regler bærer navnet ”Databeskyttelse”. 

Det afgørende ved enhver transmission af personoplysninger er at foretage en nøje analyse af om den anvendte transportmåde, f.eks. SMS er sikker nok. 

Det helt afgørende for en dataansvarlig er at passe ordentligt på de indsamlede personoplysninger. 

Dette er det helt afgørende krav som GDPR stiller. At man beskytter de indsamlede data så effektivt, at der ikke sker et persondatasikkerhedsbrud. 

Som dataansvarlig skal man inden man foretager transmission af data foretage en sikkerhedsvurdering, jf. artikel 32 i forordningen, med henblik på at kunne gennemføre de passende organisatoriske og tekniske tiltag, der sikrer et sikkerhedsniveau, som passer til risikoen ved at foretage transmission af personoplysningerne. 

Ved denne vurdering indgår for det første det aktuelle tekniske niveau på den/de mulige transmissionsformer.  

Dernæst indgår implementeringsomkostninger, hvis der er flere niveauer af sikkerhed at vælge imellem. Så skal man se på hvilke personoplysninger der skal transmitteres, omfanget heraf, formålet med transmissionen og ikke mindst hvilket tab af rettigheder, herunder frihedsrettigheder, som de registrerede kan udsættes for. 

Hele vurderingen skal dokumenteres og måske suppleres af en konsekvensanalyse, hvis betingelserne herfor er opfyldt. 

Analysen skal gentages med mellemrum – formentlig mindst en gang om året. Det er vigtigt at få det lavet korrekt, da analysen er en del af dokumentationen for ansvarlighed og en forudsætning for, at man kan påvise, at man har opfyldt sine forpligtelser efter art. 32, så man ikke risikerer en bøde.  

Det skal afslutningsvis nævnes, at Datatilsynets artikel også indeholder en opfordring til aktivt at begrænse SMS-indholdet mest muligt, jf. princippet om dataminimering. Det samme gælder ved andre typer af transmission, at kun de strengt nødvendige data bør undergå transmission. Også dette skal den dataansvarlige kunne dokumentere.