När vi håller utbildningar för dataskyddsombud, är en av frågorna som dyker upp hur man skall bedöma allvarlighetsgraden i en personuppgiftsincident. På samma sätt tycker många att det är svårt att bedöma när det föreligger hög risk i konsekvensbedömningar.
En modell som är intressant att använda, är Enisas (Europeiska unionens byrå för nät- och informationssäkerhet) metod: ”Recommendations for a methodology of the assessment of severity of personal data breaches”, för att räkna på konsekvensen i personuppgiftsincidenter. Sedan måste man alltid såklart tänka till så man inte blint litar på en modell.
Modellen kan med fördel användas både i riskmodeller/konsekvensmedömningar och för att beräkna konsekvensen av personuppgiftsincidenter. Även om det kan förefalla aningen matematiskt, är modellen faktiskt enkel! I formel beskrivs den enligt: Severity=Data Processing Context x Ease of identification + Circumstance of breach. SE=DPC x EI + CB.
Personuppgifter delas upp i simpelt (eller enkelt) data, beteendedata, finansiellt data och känsligt data, och tillsammans med i vilken kontext det används ges en poäng från 1 till 4 (DPC, Data Processing Context). T.ex. ger enkelt data en etta, men om samma data och/eller egenskaper hos personuppgiftsansvarig kan leda till antaganden om en individs hälsostatus, sexuella preferenser, politiska eller religiösa övertygelser höjs det till en tvåa osv. Dokumentet har en mängd bra exempel.
Vidare tar modellen höjd för hur lätt det är att identifiera en individ (EI, ease of identification). För att få fram en sammanlagd konsekvens multipliceras DPC med EI. T.ex. om datat är pseudonymiserat med ett alias som inte kan kopplas till individen utan att man får tillgång till referensdatabasen, multipliceras värdet för datats kontext med 0,25. Litet mindre vetenskapligt uttryckt – risken för att en individ drabbas av en personuppgiftsincident blir lägre om det är svårt eller näst intill omöjligt att identifiera personen.
Det jag tycker är intressant är att om man nöjer sig här, och har räknat ut ett värde från 1 -4 med hänsyn till datat, dess kontext och till sist hur lätt eller svårt det är att identifiera individerna, har man ett värde för konsekvens som är klockrent att använda i traditionella riskmodeller som ofta räknar ut risk som produkten av konsekvens och sannolikhet. Sedan kan man använda samma modell för att räkna på allvarlighetsgraden i en incident, och på så sätt vara förberedd på om man måste informera tillsynsmyndighet eller till och med registrerade. Här används Circumstance of breach som ett värde som adderas. T.ex. ges ett värde på 0,5 om det är ett medvetet angrepp som lett till en incident. Landar det totala värdet på 2 eller mer bör man nog anmäla till tillsynsmyndighet, blir det 3 eller mer bör man räkna med att informera registrerade.
Lycka till med riskarbetet! Har du biljett till Microsoft Techdays, vill jag slå ett slag för min och Mats Hultgren session den 25e Oktober 10:30 – 11:30 där vi djupdyker kring konsekvensbedömningar och riskanalys.
The post Modell för att räkna på konsekvens vid personuppgiftsincidenter appeared first on Addlevel.