Die französische Datenschutz-Aufsichtsbehörde CNIL hat einen Leitfaden zur Datensicherheit aus dem Jahr 2010 aufdatiert und an die DSGVO angepasst. Der Leitfaden ist auf dem Stand von 2010 auf Englisch verfügbar, die neue Fassung vorerst nur auf Französisch.
Der Grundsatz der Datensicherheit (Art. 32 DSGVO) zielt auf ein angemessenes Management von Datenschutzrisiken. Für dieses Risikomanagement empfiehlt die CNIL ein vierstufiges Vorgehen:
- Erfassung der Datenverarbeitungen
- Risikobewertung:
- Bestimmung der möglichen Auswirkungen auf betroffene Personen in drei Szenarien: (i) unbefugter Zugang zu Personendaten; (ii) unerwünschte Veränderung von Personendaten, (iii) Verlust von Daten. Beispiele unerwünschter Auswirkungen wären etwa Identitätsdiebstahl, unberechtigte Anschuldigungen infolge unrichtiger Daten, Übersehen von Nebenwirkungen bei einer Heilbehandlung, weil medizinische Daten verloren wurden).
- Bestimmung der Risikoquellen, also interne wie externe und menschliche wie sonstige Gefahren;
- Bestimmung der Risikoszenarien, d.h. der Umstände, die dazu führen können, dass ein Risiko eintritt;
- Bestimmung der bestehenden oder möglichen Massnahmen zur Gefahrenabwehr, also der technischen und organsatorischen Sicherheitsmassnahmen;
- Einschätzung der Wahrscheinlichkeit des Risikoeintritts;
- Risikomindernde Massnahmen ergreifen und überprüfen
- Regelmässige Sicherheitsüberprüfungen
Die zweite Stufe, die Risikobewertung, kann wie folgt dargestellt werden:
Der Leitfaden beschreibt sodann in 17 Kapiteln technische und organisatorische Sicherheitsmassnahmen nach der DSGVO:
- Sensibiliser les utilisateurs
- Authentifier les utilisateurs
- Gérer les habilitations
- Tracer les accès et gérer les incidents
- Sécuriser les postes de travail
- Sécuriser l’informatique mobile
- Protéger le réseau informatique interne
- Sécuriser les serveurs
- Sécuriser les sites web
- Sauvegarder et prévoir la continuité d’activité
- Archiver de manière sécurisée
- Encadrer la maintenance et la destruction des données
- Gérer la sous-traitance
- Sécuriser les échanges avec d’autres organismes
- Protéger les locaux
- Encadrer les développements informatiques
- Chiffrer, garantir l’intégrité ou signer