Ny vejledning fra Rådet for Digital Sikkerhed skal gøre GPDR-arbejdet lidt nemmere: "Vi prøver at tilpasse ambitionsniveauet"

Rådet for Digital Sikkerhed er nu på banen med en ny vejledning, der skal hjælpe organisationer og virksomheder af med hovedpinen over, at foretage konsekvensanalyser i deres arbejde med personoplysninger. "Vi prøver at tilpasse ambitionsniveauet," siger formand Henning Mortensen.

Premium Kun for abonnenter
Denne Premium-artikel er normalt kun for abonnenter

Men vi har valgt at låse den op for at give dig et eksempel på den omfattende viden og de artikler, som du har adgang til som Computerworld Premium-abonnent.

Tak, lad mig læse den OK, fortæl mig mere om Premium

Det får du i artiklen

  • Se de store udfordringer, der volder særligt SMV'er problemer ved GDPR-konsekvensanalysen.
  • Læs hele vejledningen for at foretage en hovedpinefri konsekvensanlyse.
751
3:45 min
En organisation skal gennemføre en konsekvensanalyse, når behandlingen af personoplysninger udgør en høj risiko for de registreredes rettigheder. Det fremgår af databeskyttelsesforordningen.

Men hvornår er de det? Og hvordan udfører man en konsekvensanalyse

Dét forsøger Rådet for Digital Sikkerhed at svare på i en ny vejledning, som virksomheder og organisationer kan støtte sig til, i arbejdet med at behandle personoplysninger.

"Det er vores håb at konsekvensanalyse vil blive brugt mere, og det vil være langt mere tilgængeligt for et bredt publikum, når de har læst denne vejledning. Den er simpelthen udarbejdet for at gøre livet nemmere for de dataansvarlige," siger Henning Mortensen, der er formand for Rådet for Digital Sikkerhed.

Erfaringerne har ifølge rådet vist, at organisationer har svært ved at fastslå, hvornår der skal gennemføres konsekvensanalyser, og hvordan det skal gøres.

To siders analyse er nok for de fleste
Der findes store og lange konsekvensanalyser, der kræver mange mandetimer og grundigt gennemsyn. Men alle analyser behøver ikke at være en kamp.

"Vi prøver at tilpasse ambitionsniveauet til den praktiske dagligdag. Forordningen siger ikke noget om, hvor omfattende analysen skal være. Den siger den skal være tilstrækkeligt omfattende. Dér prøver vi at skære det lidt til."

Derfor indeholder vejledningens bilag en spørgeramme, der lægger op til at udforme en konsekvensanalyse på to sider.

"Så er det klart, at hvis du skal lavet et stort infrastruktur-projekt eller nogen i den størrelsesorden, så er denne ramme nok for lille. Men 95 procent - måske endda mere - af de konsekvensanlyser, der skal laves, de vil blive indfanget af det her framework."

Hvis man er en SMV er det så et større problem at komme igennem en konsekvensanalyse?

"Det er det, for hvis du er en lille SMV, så har du ofte ikke nogen, der ved specielt meget om persondataret. Og så står man med skægget i postkassen, og ved ikke om du skal lave en, og hvordan du gør det."

Ejer man en lille eller mellemstor virksomhed, så kan man med fordel læse denne vejledning, for at få klarlagt, hvad du egentligt bør foretage dig.


Hvad skal en konsekvensanalyse kunne?
Første skridt mod at lave en konsekvensanalyse er at lave en risikoanalyse. Viser den at konsekvensen for de registrerede er høj, så må du dykke mere ned i årsagen til dette.

Igennem den proces går du ind og beskriver din behandling og klarlægger, hvad behandlingens formål er.

Når det er klarlagt, kan du kigge på dine proces og overveje, om du kan ændre på noget, der vil bringe konsekvensen ned.

Det kan eksempelvis ske ved at udelukke flere ansatte fra at have adgang til data. Eller man kan pseudonymisere eller anonymisere dataen i de trin i processen, det kan lade sig gøre.

Når dette arbejde er færdigt, bør du gerne stå med en færdig proces-vejledning, der har reduceret de registreredes ricisi.

"Hvis du så ikke kan det, og risikoen stadig er høj, så skal man foretage anmeldelse til Datatilsynet, der så skal vurdere, om man må foretage behandingen alligevel."


"op ad bakke at få Datatilsynet til at synes, at det er en rigtigt god idé."
For mange mindre virksomheder kan denne proces ende som lidt af en klemme.

"Når du henvender dig til Datatilsynet med et udgangspunkt om, at man enormt gerne vil lave en behandling. Risikoen kan vi registrere er høj, og vi kan se i konsekvensanalysen at vi ikke kan bringe risikoen ned. Må vi lave denne her behandling?"

Det kan man få lov til nogle gange, hvis det er tilstrækkeligt vigtigt. Men Henning Mortensen vurderer, at i langt de fleste tilfælde, hvor man når ud i denne situation, vil det være "op ad bakke at få Datatilsynet til at synes, at det er en rigtigt god idé."

Derfor laves konsekvensanalysen primært med udgangspunkt i at finde en metode til at bringe risikoen for de registrerede ned under virksomhedens behandling.

Vejledningen har rådet udarbejdet sammen med en række eksperter fra statslige og kommunale myndigheder samt fra det private erhvervsliv.

"Dermed håber vi selvfølgelig også på, at jo flere der tager det her til sig, jo mere vil det forbedre sikkerheden for de registrerede i det danske samfund," afslutter Henning Mortensen.

Find vejledningen her.


Kunne du lide, hvad du netop har læst?

Artiklen er en del af Computerworld Premium

Med Premium får du adgang til eksklusivt indhold for abonnenter

Se mere Premium indhold

Med Computerworld Premium får du

Øget indsigt i it og digitalisering. Premium klæder dig på til at træffe bedre beslutninger.

Et konkret overblik over it-markedet, nye tendenser samt konkrete råd og erfaringer fra danske beslutningstagere.

Råd og erfaringer fra danske CIO'er, analytikere og it-beslutningstagere. Samlet i 10-15 unikke artikler hver uge.

loading ikon


Computerworld
Endnu en tragisk ulykke med førerløs Tesla: Musk har store forventninger til ny software
En tragisk dødsulykke i USA i weekenden har sat forøget fokus på Teslas eksisterende semiautomatiske system og det kommende fuldautomatiske, der skal gøre bilerne helt selvkørende.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
"Vi var nødt til at sige til dem, at I er nødt til at sende ham hjem nu, for han begynder at knække"
"Vi var nødt til at sige til dem, at I er nødt til at sende ham hjem nu, for han begynder at knække"
White paper
Giv grønt lys for de gode ideer med Power Platformen
Hvad er Microsoft Power Platform? – og hvordan gør den det nemmere at udvikle apps og skabe en god business case ud af selv mindre projekter? Her giver AlfaPeople et hurtigt og konkret overblik over, hvor du kan drage fordel af platformen.