Artikel 32

Behandlingssikkerhed

  • Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den p√•g√¶ldende behandlings karakter, omfang, sammenh√¶ng og form√•l samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemf√łrer den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:
    • a) pseudonymisering og kryptering af personoplysninger
    • b) evne til at sikre vedvarende fortrolighed, integritet, tilg√¶ngelighed og robusthed af behandlingssystemer og -tjenester
    • c) evne til rettidigt at genoprette tilg√¶ngeligheden af og adgangen til personoplysninger i tilf√¶lde af en fysisk eller teknisk h√¶ndelse
    • d) en procedure for regelm√¶ssig afpr√łvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
  • Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udg√łr, navnlig ved h√¶ndelig eller ulovlig tilintetg√łrelse, tab, √¶ndring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller p√• anden m√•de behandlet.
  • Overholdelse af en godkendt adf√¶rdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at p√•vise overholdelse af kravene i n√¶rv√¶rende artikels stk. 1.
  • Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udf√łrer arbejde for den dataansvarlige eller databehandleren, og som f√•r adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kr√¶ves i henhold til EU-retten eller medlemsstaternes nationale ret.