Risikovurderinger

Udarbejdelse af risikovurderinger er en af forudsætningerne for at kunne leve op til kravene efter GDPR. Både dataansvarlige og databehandlere skal vurdere risici. Her er det vigtigt, at I er opmærksomme på, at disse risikovurderinger skal have fokus på de registreredes rettigheder og frihedsrettigheder - ikke en vurdering af risiko set med skolens øjne. Det er således vurderinger af risici, der skal danne grundlaget for de GDPR-tiltag af sikkerhedsmæssig karakter, I laver på skolerne.

Hvornår skal I så lave risikovurderinger? Det skal I fx før I iværksætter nye arbejdsgange, før I indgår en kontrakt med en ny databehandler, eller før I sætter et nyt system i drift. Derudover skal I fremadrettet med jævne mellemrum ”genbesøge” allerede udarbejdede risikovurderinger for at sikre, at de fortsat afspejler den reelle risiko. Udarbejdelse af risikovurderinger er altså en opgave, som I ikke blot kan sættes et flueben ved, når de er lavet én gang. Virkeligheden er, at de fleste af jeres systemer, arbejdsgange og databehandlere m.v., allerede var der, inden GDPR trådte i kraft for 2 år siden. Derfor skal I også lave risikovurderingerne for de gamle systemer, som I anvender dem nu.

Viser en risikovurdering, at der er høj risiko for de registreredes rettigheder og frihedsrettigheder, skal I lave nye foranstaltninger, som nedbringer risikoen. Er dette ikke muligt, kan det i værste fald betyde, at et system skal udfases, eller en databehandler skal erstattes med en anden databehandler. Generelt har I på skolerne i en eller anden udstrækning en risikobaseret tilgang til fx jeres arbejdsgange og systemer. Det er imidlertid ikke nok. Det er efter GDPR også et krav, at I kan dokumentere, at I har lavet risikovurderinger, samt at I følger op på dem.

På IT-Center Fyns hjemmeside https://itcfyn.dk/services/databeskyttelses-forordningen-skolerne/risikovurdering/ kan I finde materiale om risikovurderinger, herunder skabeloner og vejledninger, der kan understøtte dokumentationskravet for foretagne risikovurderinger. IT-Center Fyn vil i den kommende tid invitere til nogle møder i Teams om udarbejdelse af risikovurderinger.