Samkvæmt 1. mgr. 27. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 skal sérhver ábyrgðaraðili og vinnsluaðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga. Til þess að geta valið viðeigandi öryggisráðstafanir þarf aftur á móti fyrst að meta áhættuna af því að vinna með persónuupplýsingar, þ.e. framkvæma þarf áhættumat. Í einföldu máli má segja að matið sé tvíþætt. Annars vegar þarf að meta hvaða afleiðingar ófullnægjandi meðferð á persónuupplýsingum getur haft fyrir einstaklinga. Hins vegar þarf að kanna áhættuþætti og meta líkur á að tiltekinn atburður gerist. Í þessari stuttu grein mun höfundur fjalla um hvoru tveggja þessara atriða.

Afleiðingar fyrir einstaklinga

Þær afleiðingar sem ófullnægjandi meðferð á persónuupplýsingum getur haft fyrir einstaklinga eru metnar út frá trúnaði, réttleika og tiltækileika. Afleiðingarnar geta verið mismiklar, allt frá minniháttar óþægindum til dauða. Eftir því sem afleiðingarnar eru verri, þeim mun áhættusamara er að vinna með persónuupplýsingarnar. Þetta verður best útskýrt með eftirfarandi dæmum:

a) Barn nýtur aðstoðar frá sérfræðingi vegna erfiðleika. Foreldri barnsins óskar eftir að upplýsingar um meðferðina verði sendar í pósti. Sérfræðingurinn sendir upplýsingarnar í almennum bréfpósti. Vegna þess berast þær á rangan aðila, nánar tiltekið á nágranna viðkomandi barns (trúnaður). Orðið berst út og barnið upplifir mikla skömm, enda eru viðkvæm málefni þess á allra vitorði. Hér eru afleiðingarnar miklar fyrir viðkomandi einstakling.

b) Einstaklingur sendir inn starfsumsókn hjá fyrirtæki. Óprúttinn aðili innan fyrirtækisins kemst yfir kynningarbréfið og breytir þeim upplýsingum sem að þar eru til hins verra fyrir umsækjandann (réttleiki). Það verður til þess að viðkomandi fær ekki starfið. Hér eru afleiðingar þó nokkrar fyrir umsækjandann.

c) Einstaklingur skráir sig á póstlista hjá skóbúð til að fá upplýsingar um nýjar sendingar á skóm. Skóbúðin týnir netfanginu, þ.e. upplýsingar eru ekki lengur til staðar (tiltækileiki). Viðkomandi einstaklingur fær því ekki sendar upplýsingar um nýja skó og í versta falli nær hann ekki að fylgja nýjustu skótísku. Hér eru afleiðingarnar mjög litlar.

  • Áhættuþættir og líkur á að tiltekinn atburður gerist

Huga þarf að áhættuþáttum og meta líkur á að tiltekinn atburður gerist sem stefnir öryggi persónuupplýsinga í hættu. Þetta verður best útskýrt með eftirfarandi dæmum:

a) Persónuupplýsingar eru sendar í gegnum Internetið (áhættuþáttur). Hér eru auknar líkur á að óviðkomandi aðili komist yfir upplýsingarnar, þ.e. til dæmis möguleiki á árás frá „manninum í miðjunni“ (e. man in the middle attack).

b) Starfsmaður getur flett upp viðskiptavini án skýringar (áhættuþáttur). Í slíku tilfelli eru auknar líkur á að misfarið verði með persónuupplýsingar, þ.e. að ekki verði einungis unnið með persónuupplýsingar í vinnutengdum tilgangi.

c) Fyrirtæki hefur í hyggju að geyma persónuupplýsingar í skýjalausn sem þriðji aðili heldur utan um (áhættuþáttur). Í því tilfelli aukast líkurnar á að yfirráð yfir upplýsingunum glatist.

Að lokum:

Áhættumat er forsenda þess að hægt sé að grípa til viðeigandi tæknilegra og skipulagslegra öryggisráðstafana. Í þessari grein hefur verið látið hjá líða að fjalla um þær öryggisráðstafanir sem grípa þarf til á grundvelli áhættumatsins. Þær verða aftur á móti umfjöllunarefni annarrar greinar sem að birtist fljótlega.

Höfundur er yfirlögfræðingur hjá Dattaca Labs ehf. en fyrirtækið veitir ráðgjöf við að framkvæma áhættumat.