Risikobaseret Governance: Fra Præambel til Praksis (GDPR Art. 24 & 75-77)
Inden for moderne IT-governance er GDPR ikke blot en tjekliste over juridiske krav; det er en strategisk ramme for risikostyring. Centralt for denne ramme står Artikel 24 og de tilhørende præambler 75, 76 og 77, som definerer den dataansvarliges ansvar og metoden for risikovurdering.
I en tid hvor danske virksomheder står over for komplekse udfordringer som implementering af AI, overgang til cloud-løsninger og et skærpet trusselsbillede fra statslige aktører, er forståelsen af disse bestemmelser mere kritisk end nogensinde.
Fundamentet: Hvad er risiko i GDPR-forstand?
Mange organisationer begår den fejl at vurdere risiko ud fra et forretningsmæssigt perspektiv (f.eks. risiko for bøder eller tab af omdømme). Men GDPR vender dette perspektiv på hovedet.
Præambel 75: Identifikation af risici
Denne præambel oplister de typer af skader, som behandlingen af personoplysninger kan påføre de registrerede. Det handler om risikoen for de registreredes rettigheder og frihedsrettigheder. Skaderne kan være:
- Fysiske, materielle eller immaterielle: Herunder forskelsbehandling, identitetstyveri, økonomisk tab eller skade på omdømme.
- Tab af kontrol: Når borgeren mister overblikket over, hvordan deres data anvendes.
Præambel 76: Metoden bag vurderingen
Her etableres den objektive vurderingsmetode. Risikoen skal vurderes ud fra to parametre:
- Sandsynlighed: Hvor stor er chancen for, at hændelsen indtræffer?
- Alvor: Hvis hændelsen indtræffer, hvor stor er konsekvensen så for den enkelte?
Denne risikobaserede tilgang betyder, at sikkerheden skal skaleres. En webshop med e-mailadresser kræver ikke samme governance som en sundhedsapp, der håndterer biometriske data.
Det juridiske anker: Artikel 24
Mens præamblerne giver vejledning, er Artikel 24 den juridisk bindende bestemmelse, der placerer ansvaret. Den fastslår, at den dataansvarlige skal gennemføre “passende tekniske og organisatoriske foranstaltninger” for at sikre og kunne påvise (Accountability), at behandlingen er i overensstemmelse med forordningen.
Præambel 77 understøtter dette ved at præcisere, at den dataansvarlige skal dokumentere implementeringen af disse foranstaltninger, herunder effektiviteten af dem.
Nutidige problemstillinger i en dansk kontekst
I Danmark ser vi i øjeblikket tre store governance-udfordringer, hvor Artikel 24 og præambel 75-77 er i spil:
1. Implementering af Generativ AI
Når danske kommuner eller private virksomheder udruller AI-løsninger, rejser det massive spørgsmål om governance. Præambel 75’s fokus på “forskelsbehandling” er her yderst relevant, da algoritmer kan indeholde bias. En risikovurdering efter Artikel 24 skal her ikke kun se på datasikkerhed, men på selve algoritmens påvirkning af borgerens rettigheder.
2. NIS2 og synergi med GDPR
Med implementeringen af NIS2-direktivet i Danmark skærpes kravene til ledelsesansvar for cybersikkerhed. Artikel 24 i GDPR er her den perfekte forløber, da den allerede har etableret princippet om ledelsens ansvar for at sikre “passende” sikkerhed baseret på en risikovurdering. Governance-strukturer, der mestrer GDPR’s risikobaserede tilgang, står væsentligt stærkere i mødet med NIS2.
3. Supply Chain & Cloud Governance
Efterspillet af Schrems II-dommen har vist, at mange danske organisationer har haft svært ved at gennemskue deres underdatabehandlere. Artikel 24 kræver, at du har kontrol over hele kæden. Hvis din cloud-leverandør ændrer infrastruktur, ændres dit risikobillede (Præambel 76), og du har en pligt til at genvurdere dine foranstaltninger.
Hvorfor er det vigtigt?
Governance er ikke en statisk øvelse, men en dynamisk proces. Ved at tage afsæt i præambel 75-77 sikrer organisationen:
- Efterlevelse (Compliance): Man undgår de store bøder fra Datatilsynet ved at have dokumentationen i orden (Accountability).
- Tillid: I Danmark er digital tillid en valuta. Kunder og borgere forventer, at deres data behandles med respekt for deres rettigheder.
- Resiliens: En god risikovurdering gør organisationen i stand til at prioritere sine ressourcer dér, hvor de gør størst gavn for sikkerheden.
Konklusion
Artikel 24, støttet af præamblerne 75-77, er hjertet i en sund databeskyttelses-governance. Det kræver, at ledelsen tager ejerskab over risikobilledet og løbende tilpasser sig en digital virkelighed i konstant forandring. Som IT-sikkerhedsprofessionelle er det vores opgave at oversætte disse juridiske principper til teknisk virkelighed, så vi beskytter det vigtigste: mennesket bag dataene.
Kilder
- EDPB: Guidelines 07/2020 on the Concepts of Controller and Processor - EU Databeskyttelsesrådets retningslinjer for Artikel 24’s ansvarlighedsprincip for dataansvarlige.
- ENISA: Pseudonymisation Techniques and Best Practices - EU’s cybersikkerhedsagentur om tekniske foranstaltninger under Artikel 24, herunder pseudonymisering.
- ISO/IEC 27001:2022 Overview - Den seneste version (2022) af ISO 27001-standarden for informationssikkerhed, brugt som implementeringsramme for Artikel 24.
> Quiz: Test din viden
1. Hvad fokuserer Præambel 75 på ifølge artiklen?
2. Hvad etablerer Præambel 76 som grundlag?
3. Hvad placerer Artikel 24 på den dataansvarliges skuldre?
4. Hvad er de to parametre i risikovurderingen ifølge Præambel 76?