Eftirlit ábyrgðaraðila með öryggi við vinnslu persónuupplýsinga hjá vinnsluaðila

Það fer fyrst og fremst eftir niðurstöðu áhættumats hjá ábyrgðaraðila, eða eftir atvikum mati á áhrifum á persónuvernd (MÁP) hversu hátt öryggisstigið þarf að vera hjá vinnsluaðila og hversu miklar öryggisráðstafanir þarf að gera.

Öryggisráðstafanir miðast við tegundir upplýsinga og umfangi vinnslu

Þumalputtareglan er sú að því viðkvæmari persónuupplýsingar og/eða umfangsmeiri vinnsla er um að ræða, því meiri öryggisráðstafanir þarf að gera.

Þannig eru ekki gerðar til dæmis sömu kröfur til kerfis sem heldur utan um viðskiptamannaskrá (nafn, heimilisföng, símanúmer) og kerfis sem inniheldur viðkvæmar heilsufarsupplýsingar, svo sem sjúkraskrá.

Áður en vinnsla hefst þurfa ábyrgðaraðili og vinnsluaðili að ákveða hvaða öryggisráðstafanir eru gerðar með hliðsjón af áhættunni af vinnslunni. Vinnsluaðilinn þarf að innleiða þessar ráðstafanir í samráði við ábyrgðaraðila.

Viðeigandi öryggisráðstafanir geta til dæmis verið:

• regluleg uppfærsla kerfa,

• dulkóðun upplýsinga

• notkun eldveggja,

• aðgangsstýring,

• aðgerðaskráning,

• öryggisafritun

• kröfur um sterkt lykilorð, rafræn skilríki, tvöfalda auðkenningu og fleira.

Þær öryggisráðstafanir sem ábyrgðaraðili og vinnsluaðili koma sér saman um skal skjalfesta í vinnslusamningnum ásamt því hvernig eftirliti skuli háttað.