Lav en konsekvensanalyse på 30 minutter

Introduktion til konsekvensanalyse DPIA

En konsekvensanalyse består af en række spørgsmål, som kan danne grundlaget for en vurdering af de risici der er i forbindelse med behandling af personoplysninger. En konsekvensanalyse skal foretages inden behandlingen af personoplysninger begynder.

Det er den dataansvarlige, som står for at skulle igangsætte konsekvensanalysen DPIA. Den dataansvarlige er den person, som har ansvaret for behandlingen af personoplysningerne. Personoplysninger er alle informationer om en identificeret eller identificerbar fysisk person. Det vil sige at man ud fra oplysningerne kan finde ud af hvem en person er. Det vil sige at personoplysninger er oplysninger, som kan henføres til en enkeltperson.

Konsekvensanalysen DPIA bliver relevant når der er bliver behandlet personoplysninger. Behandling af personoplysninger er enhver form for handling, hvori personoplysninger indgår, eksempelvis indsamling, registrering, redigering, beregning, sammenstilling, videregivelse, læsning, opbevaring og sletning.

Hvorfor lave en konsekvensanalyse DPIA?

Der er flere grunde til at der bør laves en konsekvensanalyse DPIA. Nedenfor ses formålene med at lave en DPIA:

•Sikre at behandlingen af personoplysninger er i overensstemmelse med retningslinjerne for databehandling i lovgivningen, bl.a. persondataforordningen.

•Ved at sende et signal om, at der indsamles færrest mulige personoplysninger og at de oplysninger der indsamles behandles på den sikrest mulige måde, skaber det tillid til de personer, hvis oplysninger der behandles og dermed kan der skabes flere kunder.

•En konsekvensanalyse skaber også mulighed for at teste graden af informationssikkerhed i forbindelse med udviklingen af nye teknologier og it-systemer. Det vil sige, at IT systemerne bliver designet således, at de forsvarligt kan bruges til at behandle personoplysninger i overensstemmelse med lovgivningen. Dette er meget billigere og nemmere end hvis man efter udviklingen af IT systemerne skal indbygge løsninger, så personoplysninger kan behandles sikkert.

•Der er bedre mulighed for at forebygge risikoen for problemer med behandling af personoplysninger, når man har en konsekvensanalyse DPIA, idet konsekvensanalysen giver en bevidsthed omkring beskyttelse af personoplysninger og de situationer, hvor oplysningerne specielt vil være sårbare.

•Risikoen for databrud mindskes og dermed mindskes risikoen for tab af tillid og omdømme.

Hvem skal lave en konsekvensanalyse DPIA?

Det er en konkret vurdering om der skal foretages en fuld konsekvensanalyse, men det er et krav at der i alle tilfælde hvor der bliver behandlet personoplysninger bliver foretaget en indledende risikovurdering. Risikoanalyser.dk anbefaler at alle der behandler personoplysninger udfylder en konsekvensanalyse. Det er et krav at der laves en konsekvensanalyse i de tilfælde, hvor der behandles personoplysninger og hvor der ved behandlingen af oplysningerne, vil kunne være forbundet en høj risiko for brud på fysiske personers rettigheder og frihedsrettigheder. Konsekvensanalysen DPIA skal foretages inden behandlingen af personoplysninger påbegyndes.

Det kan være svært lige umiddelbart at vurdere om der er en høj risiko forbundet ved ens behandling af persondata. Ved udfyldelsen af konsekvensanalysen DPIA kan der skabes et overblik, så der kan foretages en korrekt vurdering af risikoen ved behandlingen af personoplysninger. Vurderingen af om hvorvidt der foreligger en høj risiko er en konkret vurdering, som databehandleren skal foretage på baggrund af den udfyldte konsekvensanalyse DPIA. Graden af risikoen vurderes ud fra en samlet vurdering af behandlingens karakter, omfang, sammenhæng og formål.

Fremgangsmåde

Når man har taget beslutningen om at behandle personoplysninger, skal man inden behandlingen af personoplysningerne udfylde en konsekvensanalyse DPIA fremgangsmåden er således:

1.Udfyld konsekvensanalysen, som består af en række spørgsmål. Konsekvensanalysen kan hentes øverst på siden.

2.Fortag en konkret vurdering på baggrund af den udfyldte konsekvensanalyse. Vurderingen der skal foretages er en samlet vurdering af alle delene af databehandlingen. Der kan som hjælp til at foretage vurderingen findes nogle retningslinjer gennem godkendte adfærdskodekser, godkendte certificeringer, retningslinjer fra EU’s Databeskyttelsesråd, Datatilsynet eller en databeskyttelsesrådgivers anvisninger.

3. Hvis der efter udfyldelsen af konsekvensanalysen DPIA viser sig at være en risiko ved ens behandling af personoplysninger, så skal man foretage en række foranstaltninger, for at nedbringe risikoen ved behandlingen af personoplysningerne. Hvis risikoen bliver nedbringet ved de foranstaltninger, man efter konsekvensanalysen har foretaget for at øge sikkerheden omkring behandlingen af personoplysningerne, så skal Datatilsynet ikke kontaktes.

Men hvis man efter udfyldelsen af konsekvensanalysen DPIA kommer til det resultat, at der forbundet en høj risiko ved ens behandling af personoplysninger og hvis man ikke ved hjælp af passende foranstaltninger kan nedbringe denne risiko, så er der pligt til at informere Datatilsynet, som vil vurdere sagen.

Hvis man har foretaget konsekvensanalysen på en allerede igangværende behandling af personoplysninger, og det viser sig at der er et brud på persondatasikkerheden og hvis dette brud sandsynligvis kan medfører en høj risiko for fysiske personers rettigheder og frihedsrettigheder, bør den dataansvarlige med det samme informere Datatilsynet.De personer, hvis persondata der bliver behandlet, skal også informeres om bruddet hurtigst muligt, og dette bør gøres i tæt samarbejde med Datatilsynet.

Underretningen bør beskrive omfanget af bruddet på persondatasikkerheden og indeholde anbefalinger til de berørte personer for at begrænse de mulige skadevirkninger. Hvis der efter vurderingen viser sig at være områder hvorpå ens behandling af personoplysninger kan forbedres, så vil der nu være mulighed for at ændre på dette, så man er sikker på at opnå alle de gode fordele der er ved at lave sikker databehandling.

Konsekvensanalyse - Databeskyttelsesforordningen -