Digitaliseringsstyrelsen iværksætter alle foranstaltninger, der kræves i henhold til databeskyttelsesforordningens artikel 32 om behandlingssikkerhed på baggrund af en risikovurdering. Digitaliseringsstyrelsen sikrer herved, at der under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Digitaliseringsstyrelsen stiller på sin hjemmeside en sammenfatning af den foretagne risikovurdering til rådighed for de dataansvarlige juridiske enheder, så risikovurderingen kan indgå i de dataansvarliges egne risikovurderinger.
Stk. 2 Digitaliseringsstyrelsen gennemfører passende foranstaltninger for at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og tjenester ved at imødegå de i risikovurderingen identificerede risici. Der kan alt efter, hvad der er relevant, være tale om følgende foranstaltninger:
-
1) Kryptering af personoplysninger.
-
2) Logning af brug og adgang til personoplysninger.
-
3) Evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af fysisk eller teknisk hændelse.
-
4) En procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Stk. 3 Digitaliseringsstyrelsen fastsætter på baggrund af risikovurderingen, jf. § 6. stk. 1, og forslag til passende foranstaltninger, jf. § 6, stk. 2, nærmere interne bestemmelser om tekniske og organisatoriske sikkerhedsforanstaltninger, i eget informationssikkerhedsledelsessystem, for databehandlingen.
-
1) De interne bestemmelser gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende, og afspejler de faktiske forhold hos Digitaliseringsstyrelsen i rollen som databehandler.
-
2) Digitaliseringsstyrelsen giver den fornødne instruktion til egne medarbejdere, som behandler personoplysninger. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af dette afsnit.
Stk. 4 Den enkelte juridiske enhed er ansvarlig for at gennemføre egne relevante organisatoriske og tekniske sikkerhedsforanstaltninger, som knytter sig til den juridiske enheds rolle som dataansvarlig i forbindelse med anvendelsen af Digital Post.
Stk. 5 Digitaliseringsstyrelsen er ansvarlig for iagttagelse af reglen om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25 i forhold til udvikling, drift, vedligeholdelse og forvaltning af Digital Post.