Som nævnt i den første artikel om vejledningen er en persondatapolitik en vigtig del af arbejdet med GDPR. Politikken bør også forholde sig til behandlingssikkerhed, og herunder bl.a. hvordan advokatfirmaet overordnet set vurderer risici i forbindelse med behandling af personoplysninger. Advokatfirmaet bør dermed beslutte, hvilken model eller metode, der anvendes til at identificere og måle risici, og hvilket sikkerhedsniveau, som er passende for firmaets behandlingsaktiviteter og systemer med udgangspunkt i risikoen for den registrerede og ikke advokatvirksomheden. Læs nærmere om valg af metode og gennemførelse af vurderingen i vejledningen.

Arbejdet med behandlingssikker indebærer også, at der i en række bestemte situationer skal foretages en vurdering. Dette er fx tilfældet i forbindelse med indgåelse af en aftale med en databehandler om behandling af personoplysninger. Inden aftalen indgås, skal advokatfirmaet identificere og vurdere eventuelle risici ved behandlingen og leverandørens behandlingssikkerhed.   

Hvis uheldet er ude, og der sker et brud på persondatasikkerheden, skal der også udarbejdes en vurdering af risikoen for den registrerede. Læs nærmere om hvordan det gøres i vejledningen. Husk i øvrigt at genbesøge og eventuelt revurdere tidligere vurderinger, da forholdene kan og med tiden vil have ændret sig. Hvis advokatfirmaet endnu ikke har forholdt sig til behandlingssikkerheden, anbefales det, at dette gøres.

Læs nærmere om behandlingssikkerhed i vejledningen, eller læs om, hvordan advokatvirksomheder forebygger cyberangreb og databrud her.

I den næste og sidste artikel kan du læse mere om advokaters tavshedspligt i forbindelse med behandling af personoplysninger.