Konsekvensanalyser
GDPR kræver, at du skal udarbejde en konsekvensanalyse, hvis din behandling af personoplysninger kan have betydelige negative konsekvenser for vedkommende.
En konsekvensanalyse er en detaljeret risikovurdering, som skal følge de specifikke krav, som er angivet i GDPR-reglernes artikel 35.
Hvornår skal du udføre en konsekvensanalyse?
Du skal altid gennemføre en konsekvensanalyse, når din behandling af personoplysninger sandsynligvis medfører en høj risiko for folks rettigheder og friheder. Risikoen kan for eksempel være fysisk, økonomisk eller være en påvirkning på privatlivet.
Hvis behandlingen af personoplysninger bruger helt nye teknologier eller kendte teknologier på en ny måde, så er det særligt relevant at foretage en konsekvensanalyse. Nye teknologier kan medføre risici, som endnu ikke er kendte, f.eks. i forhold til privatlivets fred.
Eksempler på teknologier, hvor en konsekvensanalyse typisk er nødvendig er ved brug af iris-scanning eller kunstig intelligens (AI)
Vær dog opmærksom på, at et nyt IT-system ikke nødvendigvis betyder, at der er tale om ny teknologi.
Tre situationer, hvor konsekvensanalyse er påkrævet
GDPR artikel 35, stk. 3 beskriver dog også tre situationer, hvor du altid skal lave en konsekvensanalyse.
1. Automatisk vurdering og profilering, der påvirker personer væsentligt
Når der foretages en systematisk og omfattende vurdering af personlige forhold, som bruger teknologi til at foretage behandlingen automatisk, og som anvendes til at træffe afgørelser om vedkommende, så skal der altid laves en konsekvensanalyse.
Et eksempel herpå er en fodboldklub, der inden en stor kamp undersøger publikum for potentielle sikkerhedsrisici ved at sammenligne billetkøbere med offentligt tilgængelige data. Denne behandling kan føre til, at nogen nægtes adgang, selvom de har købt billet, og derfor skal der gennemføres en konsekvensanalyse.
2. Omfattende behandling af følsomme oplysninger eller oplysninger om strafbare forhold
Hvis du behandler store mængder følsomme personoplysninger eller data om strafbare forhold, så skal du udføre en konsekvensanalyse.
I denne kontekst kan du vurdere et "stort omfang" ved at se på antallet af personer, mængden af data, varigheden af behandlingen og geografisk rækkevidde af behandlingen.
Et eksempel herpå er en national platform til patientjournaler, hvor følsomme personoplysninger behandles for et stort geografisk område og behandles i en lang periode.
3. Omfattende overvågning af offentlige områder
Hvis din organisation overvåger offentlige områder i stort omfang, f.eks. med videokameraer, skal du lave en konsekvensanalyse. Overvågning har stor betydning for privatlivet, da folk vil have svært ved at undgå overvågning eller kontrollere, hvordan deres data bruges.
Hvordan udføres en konsekvensanalyse?
Det første skridt til at lave en konsekvensanalyse er at identificere behovet for at udarbejde den, og det gør du ved at risikovurdere alle dine behandlinger af personoplysninger i organisationen. Hvis du identificerer en høj risiko ved en behandler eller et af de 3 scenarier beskrevet tidligere, så skal du tage skridtet videre og udføre en konsekvensanalyse.
En konsekvensanalyse er først og fremmest en risikovurdering, men den er pålagt nogle specifikke krav i GDPR-reglerne for hvordan, at den skal udføres. Ifølge GDPR artikel 35, stk. 7, skal din konsekvensanalyse mindst indeholde følgende:
- En systematisk beskrivelse af behandlingen og formålet med den.
- En klar vurdering af, om behandlingen er nødvendig og rimelig i forhold til formålet med behandlingen.
- En vurdering af risiciene for personernes rettigheder, friheder og privatliv.
- Beskrivelse af hvordan du reducerer risiciene, f.eks. gennem tekniske eller organisatoriske foranstaltninger.
I nedenstående gennem vi hvordan, at du kan udarbejde konsekvensanalysen, så du følger kravene.
Beskrivelse af behandlingsaktiviteten
Når du udarbejder en konsekvensanalyse, skal du først redegøre for den behandling af persondata, som konsekvensanalysen vedrører. Denne beskrivelse svarer nogenlunde til indholdet i din fortegnelse.
-
Beskriv tydeligt, hvorfor konsekvensanalysen er nødvendig, hvad behandlingen skal opnå, og hvilke arbejdsprocesser den understøtter.
-
Klarlæg, hvilke typer data, der behandles, hvor de kommer fra, formålet med behandlingen, og hvor længe data opbevares.
-
Hvem vedrører data? Omfatter det særligt udsatte grupper, f.eks. børn eller patienter?
-
Beskriv teknologien der anvendes til at foretage behandlingen af personoplysninger.
-
Forklar hvordan behandlingen påvirker de involverede personer og samfundet.
-
Hvis data deles med andre parter, så beskriv også dette tydeligt.
Vurdering af lovlighed
Når du har beskrevet behandlingsaktiviteten, så bør du redegøre for lovligheden af behandlingen.
-
Vurder hvilket lovgrundlag, der muliggør behandlingen.
-
Vurder, om formålet er klart og rimeligt, og om behandlingen er nødvendig og passende.
-
Beskriv hvordan du sikrer, at data er korrekte og slettes rettidigt.
-
Beskriv datasikkerheden, og hvordan du håndterer eventuelle sikkerhedsbrud.
-
Beskriv hvordan du håndterer de registreredes rettigheder.
-
Beskriv databehandlere og evt. dataoverførsel udenfor EU.
Evalueringskriterier for sandsynlighed og konsekvens
Efter vurderingen af behandlingens lovlighed, så bør du vurdere risikoen for personers rettigheder og friheder. ”Risiko” findes ved at vurdere mulige hændelser med negative konsekvenser for de registrerede fx:
Risikoniveauet afgøres af, hvor sandsynligt det er, at disse hændelser sker, samt de potentielle negative konsekvenser. Denne vurdering skal være objektiv og tage højde for behandlingens karakter, formål og omfang.
Inddragelse af databeskyttelsesrådgiveren
Hvis din virksomhed har udpeget en databeskyttelsesrådgiver (DPO), så skal du altid involvere denne i udarbejdelsen af konsekvensanalysen.
Inddragelse af interessenter
Når det vurderes relevant og passende, så bør du også inddrage de registrerede. Det kan fx gøres ved at høre interesseorganisationer om deres vurdering af konsekvensanalysens indhold.
Nedbringning af risikoen
Hvis konsekvensanalysen viser en høj risiko, så skal du også beskrive, hvordan den kan reduceres. Det kan ske gennem øget datasikkerhed, justerede arbejdsgange eller begrænset adgang til data. Du bør tydeligt forklare, hvilke tiltag der implementeres, hvem der er ansvarlig for dem, og hvornår de skal være implementeret.
Høring af Datatilsynet
Hvis din konsekvensanalyse viser, at behandlingen indebærer en høj risiko for de registrerede selv efter at have implementeret organisatoriske og tekniske foranstaltninger, så skal Datatilsynet inddrages før behandlingen kan finde sted.
Ved høringen af Datatilsynet skal følgende information medsendes:
- Klar beskrivelse af ansvarsfordelingen mellem den dataansvarliges, databehandlere og eventuelt fællesdataansvarlige.
- Behandlingens formål, samt hvordan den foretages i praksis.
- Beskyttelsesforanstaltninger.
- Databeskyttelsesrådgiverens kontaktoplysninger
Løbende revision
Konsekvensanalysen bør løbende gennemgås og opdateres, især hvis der sker ændringer i behandlingen, som fører til en ændring af risikobilledet.
Konsekvensanalyse skabelon
Det er et stort ansvar at udarbejde en konsekvensanalyse, som har indvirkning på en organisations drift og planlægning. Hvis du får ansvaret for at udføre en konsekvensanalyse, så kan du tage udgangspunkt i Datatilsynet skabelon.
Datatilsynet har udarbejdet en konsekvensanalyse skabelon i en excel-fil, som du kan downloade på deres hjemmeside.
Kunstig intelligens og konsekvensanalyser
Hvis din konsekvensanalyse vedrører brugen af kunstig intelligens, så bør du også tage et kig på AI-forordningen, som regulerer brugen heraf, og særligt når teknologien kan medføre nye og betydelige risici, som derfor kræver særlig opmærksomhed.
Yderligere læsning
Du kan læse mere om konsekvensanalyse i følgende kilder:
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
.jpg)
