Konsekvensanalyse

Du skal udarbejde en konsekvensanalyse, når behandlingen af personoplysninger medfører en høj risiko for de registrerede. I denne artikel gennemgås disse krav.

DPIA

Indholdsfortegnelse

    Konsekvensanalyser 

    GDPR kræver, at du skal udarbejde en konsekvensanalyse, hvis din behandling af personoplysninger kan have betydelige negative konsekvenser for vedkommende.   

    En konsekvensanalyse er en detaljeret risikovurdering, som skal følge de specifikke krav, som er angivet i GDPR-reglernes artikel 35. 

    Hvornår skal du udføre en konsekvensanalyse? 

    Du skal altid gennemføre en konsekvensanalyse, når din behandling af personoplysninger sandsynligvis medfører en høj risiko for folks rettigheder og friheder. Risikoen kan for eksempel være fysisk, økonomisk eller være en påvirkning på privatlivet. 

    Hvis behandlingen af personoplysninger bruger helt nye teknologier eller kendte teknologier på en ny måde, så er det særligt relevant at foretage en konsekvensanalyse. Nye teknologier kan medføre risici, som endnu ikke er kendte, f.eks. i forhold til privatlivets fred.  

    Eksempler på teknologier, hvor en konsekvensanalyse typisk er nødvendig er ved brug af iris-scanning eller kunstig intelligens (AI) 

    Vær dog opmærksom på, at et nyt IT-system ikke nødvendigvis betyder, at der er tale om ny teknologi. 

    Tre situationer, hvor konsekvensanalyse er påkrævet 

    GDPR artikel 35, stk. 3 beskriver dog også tre situationer, hvor du altid skal lave en konsekvensanalyse.

    1. Automatisk vurdering og profilering, der påvirker personer væsentligt

    Når der foretages en systematisk og omfattende vurdering af personlige forhold, som bruger teknologi til at foretage behandlingen automatisk, og som anvendes til at træffe afgørelser om vedkommende, så skal der altid laves en konsekvensanalyse. 

    Et eksempel herpå er en fodboldklub, der inden en stor kamp undersøger publikum for potentielle sikkerhedsrisici ved at sammenligne billetkøbere med offentligt tilgængelige data. Denne behandling kan føre til, at nogen nægtes adgang, selvom de har købt billet, og derfor skal der gennemføres en konsekvensanalyse.

    2. Omfattende behandling af følsomme oplysninger eller oplysninger om strafbare forhold

    Hvis du behandler store mængder følsomme personoplysninger eller data om strafbare forhold, så skal du udføre en konsekvensanalyse.  

    I denne kontekst kan du vurdere et "stort omfang" ved at se på antallet af personer, mængden af data, varigheden af behandlingen og geografisk rækkevidde af behandlingen.  

    Et eksempel herpå er en national platform til patientjournaler, hvor følsomme personoplysninger behandles for et stort geografisk område og behandles i en lang periode.

    3. Omfattende overvågning af offentlige områder

    Hvis din organisation overvåger offentlige områder i stort omfang, f.eks. med videokameraer, skal du lave en konsekvensanalyse. Overvågning har stor betydning for privatlivet, da folk vil have svært ved at undgå overvågning eller kontrollere, hvordan deres data bruges. 

    Hvordan udføres en konsekvensanalyse? 

    Det første skridt til at lave en konsekvensanalyse er at identificere behovet for at udarbejde den, og det gør du ved at risikovurdere alle dine behandlinger af personoplysninger i organisationen. Hvis du identificerer en høj risiko ved en behandler eller et af de 3 scenarier beskrevet tidligere, så skal du tage skridtet videre og udføre en konsekvensanalyse. 

    En konsekvensanalyse er først og fremmest en risikovurdering, men den er pålagt nogle specifikke krav i GDPR-reglerne for hvordan, at den skal udføres. Ifølge GDPR artikel 35, stk. 7, skal din konsekvensanalyse mindst indeholde følgende: 

    • En systematisk beskrivelse af behandlingen og formålet med den. 
    • En klar vurdering af, om behandlingen er nødvendig og rimelig i forhold til formålet med behandlingen. 
    • En vurdering af risiciene for personernes rettigheder, friheder og privatliv. 
    • Beskrivelse af hvordan du reducerer risiciene, f.eks. gennem tekniske eller organisatoriske foranstaltninger. 

    I nedenstående gennem vi hvordan, at du kan udarbejde konsekvensanalysen, så du følger kravene. 

    Beskrivelse af behandlingsaktiviteten 

    Når du udarbejder en konsekvensanalyse, skal du først redegøre for den behandling af persondata, som konsekvensanalysen vedrører. Denne beskrivelse svarer nogenlunde til indholdet i din fortegnelse. 

    1. Beskriv tydeligt, hvorfor konsekvensanalysen er nødvendig, hvad behandlingen skal opnå, og hvilke arbejdsprocesser den understøtter.

    2. Klarlæg, hvilke typer data, der behandles, hvor de kommer fra, formålet med behandlingen, og hvor længe data opbevares.

    3. Hvem vedrører data? Omfatter det særligt udsatte grupper, f.eks. børn eller patienter?

    4. Beskriv teknologien der anvendes til at foretage behandlingen af personoplysninger.

    5. Forklar hvordan behandlingen påvirker de involverede personer og samfundet.

    6. Hvis data deles med andre parter, så beskriv også dette tydeligt. 

    Vurdering af lovlighed 

    Når du har beskrevet behandlingsaktiviteten, så bør du redegøre for lovligheden af behandlingen.  

    1. Vurder hvilket lovgrundlag, der muliggør behandlingen.

    2. Vurder, om formålet er klart og rimeligt, og om behandlingen er nødvendig og passende.

    3. Beskriv hvordan du sikrer, at data er korrekte og slettes rettidigt.

    4. Beskriv datasikkerheden, og hvordan du håndterer eventuelle sikkerhedsbrud.

    5. Beskriv hvordan du håndterer de registreredes rettigheder.

    6. Beskriv databehandlere og evt. dataoverførsel udenfor EU. 

    Evalueringskriterier for sandsynlighed og konsekvens 

    Efter vurderingen af behandlingens lovlighed, så bør du vurdere risikoen for personers rettigheder og friheder. ”Risiko” findes ved at vurdere mulige hændelser med negative konsekvenser for de registrerede fx: 

    • Identitetstyveri 
    • Økonomisk tab 
    • Skader på omdømme 
    • Diskrimination 
    • Tab af fortrolige data 

    Risikoniveauet afgøres af, hvor sandsynligt det er, at disse hændelser sker, samt de potentielle negative konsekvenser. Denne vurdering skal være objektiv og tage højde for behandlingens karakter, formål og omfang.  

    Inddragelse af databeskyttelsesrådgiveren 

    Hvis din virksomhed har udpeget en databeskyttelsesrådgiver (DPO), så skal du altid involvere denne i udarbejdelsen af konsekvensanalysen.  

    Inddragelse af interessenter 

    Når det vurderes relevant og passende, så bør du også inddrage de registrerede. Det kan fx gøres ved at høre interesseorganisationer om deres vurdering af konsekvensanalysens indhold. 

    Nedbringning af risikoen 

    Hvis konsekvensanalysen viser en høj risiko, så skal du også beskrive, hvordan den kan reduceres. Det kan ske gennem øget datasikkerhed, justerede arbejdsgange eller begrænset adgang til data. Du bør tydeligt forklare, hvilke tiltag der implementeres, hvem der er ansvarlig for dem, og hvornår de skal være implementeret. 

    Høring af Datatilsynet 

    Hvis din konsekvensanalyse viser, at behandlingen indebærer en høj risiko for de registrerede selv efter at have implementeret organisatoriske og tekniske foranstaltninger, så skal Datatilsynet inddrages før behandlingen kan finde sted.  

    Ved høringen af Datatilsynet skal følgende information medsendes: 

    • Klar beskrivelse af ansvarsfordelingen mellem den dataansvarliges, databehandlere og eventuelt fællesdataansvarlige. 
    • Behandlingens formål, samt hvordan den foretages i praksis. 
    • Beskyttelsesforanstaltninger. 
    • Databeskyttelsesrådgiverens kontaktoplysninger 
    • Selve konsekvensanalysen 

    Løbende revision 

    Konsekvensanalysen bør løbende gennemgås og opdateres, især hvis der sker ændringer i behandlingen, som fører til en ændring af risikobilledet. 

    Konsekvensanalyse skabelon 

    Det er et stort ansvar at udarbejde en konsekvensanalyse, som har indvirkning på en organisations drift og planlægning. Hvis du får ansvaret for at udføre en konsekvensanalyse, så kan du tage udgangspunkt i Datatilsynet skabelon. 

    Datatilsynet har udarbejdet en konsekvensanalyse skabelon i en excel-fil, som du kan downloade på deres hjemmeside. 

    Kunstig intelligens og konsekvensanalyser 

    Hvis din konsekvensanalyse vedrører brugen af kunstig intelligens, så bør du også tage et kig på AI-forordningen, som regulerer brugen heraf, og særligt når teknologien kan medføre nye og betydelige risici, som derfor kræver særlig opmærksomhed. 

    Yderligere læsning 

    Du kan læse mere om konsekvensanalyse i følgende kilder: 

    Processing activities

    .legal compliance platform Start din compliance rejse i dag

    Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
    • Kreditkort ikke nødvendigt
    • Ubegrænset tid på gratis plan
    • Ingen binding
    +300 store og små virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    arp-hansen-hotel-group-logo-1
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    Zwipe
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo