Det får du i artiklen
- Se de store udfordringer, der volder særligt SMV'er problemer ved GDPR-konsekvensanalysen.
- Læs hele vejledningen for at foretage en hovedpinefri konsekvensanlyse.
751
3:45 min
Men hvornår er de det? Og hvordan udfører man en konsekvensanalyse
Dét forsøger Rådet for Digital Sikkerhed at svare på i en ny vejledning, som virksomheder og organisationer kan støtte sig til, i arbejdet med at behandle personoplysninger.
"Det er vores håb at konsekvensanalyse vil blive brugt mere, og det vil være langt mere tilgængeligt for et bredt publikum, når de har læst denne vejledning. Den er simpelthen udarbejdet for at gøre livet nemmere for de dataansvarlige," siger Henning Mortensen, der er formand for Rådet for Digital Sikkerhed.
Erfaringerne har ifølge rådet vist, at organisationer har svært ved at fastslå, hvornår der skal gennemføres konsekvensanalyser, og hvordan det skal gøres.
To siders analyse er nok for de fleste
Der findes store og lange konsekvensanalyser, der kræver mange mandetimer og grundigt gennemsyn. Men alle analyser behøver ikke at være en kamp.
"Vi prøver at tilpasse ambitionsniveauet til den praktiske dagligdag. Forordningen siger ikke noget om, hvor omfattende analysen skal være. Den siger den skal være tilstrækkeligt omfattende. Dér prøver vi at skære det lidt til."
Derfor indeholder vejledningens bilag en spørgeramme, der lægger op til at udforme en konsekvensanalyse på to sider.
"Så er det klart, at hvis du skal lavet et stort infrastruktur-projekt eller nogen i den størrelsesorden, så er denne ramme nok for lille. Men 95 procent - måske endda mere - af de konsekvensanlyser, der skal laves, de vil blive indfanget af det her framework."
Hvis man er en SMV er det så et større problem at komme igennem en konsekvensanalyse?
"Det er det, for hvis du er en lille SMV, så har du ofte ikke nogen, der ved specielt meget om persondataret. Og så står man med skægget i postkassen, og ved ikke om du skal lave en, og hvordan du gør det."
Ejer man en lille eller mellemstor virksomhed, så kan man med fordel læse denne vejledning, for at få klarlagt, hvad du egentligt bør foretage dig.
Hvad skal en konsekvensanalyse kunne?
Første skridt mod at lave en konsekvensanalyse er at lave en risikoanalyse. Viser den at konsekvensen for de registrerede er høj, så må du dykke mere ned i årsagen til dette.
Igennem den proces går du ind og beskriver din behandling og klarlægger, hvad behandlingens formål er.
Når det er klarlagt, kan du kigge på dine proces og overveje, om du kan ændre på noget, der vil bringe konsekvensen ned.
Det kan eksempelvis ske ved at udelukke flere ansatte fra at have adgang til data. Eller man kan pseudonymisere eller anonymisere dataen i de trin i processen, det kan lade sig gøre.
Når dette arbejde er færdigt, bør du gerne stå med en færdig proces-vejledning, der har reduceret de registreredes ricisi.
"Hvis du så ikke kan det, og risikoen stadig er høj, så skal man foretage anmeldelse til Datatilsynet, der så skal vurdere, om man må foretage behandingen alligevel."
Igennem den proces går du ind og beskriver din behandling og klarlægger, hvad behandlingens formål er.
Når det er klarlagt, kan du kigge på dine proces og overveje, om du kan ændre på noget, der vil bringe konsekvensen ned.
Det kan eksempelvis ske ved at udelukke flere ansatte fra at have adgang til data. Eller man kan pseudonymisere eller anonymisere dataen i de trin i processen, det kan lade sig gøre.
Når dette arbejde er færdigt, bør du gerne stå med en færdig proces-vejledning, der har reduceret de registreredes ricisi.
"Hvis du så ikke kan det, og risikoen stadig er høj, så skal man foretage anmeldelse til Datatilsynet, der så skal vurdere, om man må foretage behandingen alligevel."
"op ad bakke at få Datatilsynet til at synes, at det er en rigtigt god idé."
For mange mindre virksomheder kan denne proces ende som lidt af en klemme.
"Når du henvender dig til Datatilsynet med et udgangspunkt om, at man enormt gerne vil lave en behandling. Risikoen kan vi registrere er høj, og vi kan se i konsekvensanalysen at vi ikke kan bringe risikoen ned. Må vi lave denne her behandling?"
Det kan man få lov til nogle gange, hvis det er tilstrækkeligt vigtigt. Men Henning Mortensen vurderer, at i langt de fleste tilfælde, hvor man når ud i denne situation, vil det være "op ad bakke at få Datatilsynet til at synes, at det er en rigtigt god idé."
Derfor laves konsekvensanalysen primært med udgangspunkt i at finde en metode til at bringe risikoen for de registrerede ned under virksomhedens behandling.
"Når du henvender dig til Datatilsynet med et udgangspunkt om, at man enormt gerne vil lave en behandling. Risikoen kan vi registrere er høj, og vi kan se i konsekvensanalysen at vi ikke kan bringe risikoen ned. Må vi lave denne her behandling?"
Det kan man få lov til nogle gange, hvis det er tilstrækkeligt vigtigt. Men Henning Mortensen vurderer, at i langt de fleste tilfælde, hvor man når ud i denne situation, vil det være "op ad bakke at få Datatilsynet til at synes, at det er en rigtigt god idé."
Derfor laves konsekvensanalysen primært med udgangspunkt i at finde en metode til at bringe risikoen for de registrerede ned under virksomhedens behandling.
Vejledningen har rådet udarbejdet sammen med en række eksperter fra statslige og kommunale myndigheder samt fra det private erhvervsliv.
"Dermed håber vi selvfølgelig også på, at jo flere der tager det her til sig, jo mere vil det forbedre sikkerheden for de registrerede i det danske samfund," afslutter Henning Mortensen.
Find vejledningen her.