Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer

Konsekvensanalyser (DPIA) er mere ligetil, end du tror. Baseret på Kammeradvokatens retningslinjer giver vi dig en guide til at lave en vellykket DPIA trin-for-trin. DPIA-processen sikrer, at nye systemer i din organisation implementeres lovligt.

Publiseringsdato: 
3/4/2024
Gry Josefine Løvgren
Content Specialist

Læs mere om forfatteren

1. Baggrund, formål og afgrænsning

En DPIA er nødvendig, når der er en potentiel høj risiko for de personer, hvis data du har registreret. En høj risiko kan for eksempel forstås som systematisk og omfattende profilering, brug af følsom persondata eller offentlig overvågning.

Når en høj risiko er identificeret, er det første skridt at beskrive baggrunden for behandlingen af personoplysninger, og hvorfor I er forpligtet til at lave en DPIA.

2. Relevante parter - inddragelse af de registrerede

Her bliver det lidt mere omfattende. Dog er det et yderst vigtigt skridt. Du bør inddrage synspunkterne fra de personer, hvis data er involveret. Hvad er fru Jensen mest bekymret over, når hun deler sine personlige oplysninger med dig? Lav en høringsproces for at indhente synspunkter fra de involverede eller deres repræsentanter.

3. Behandling af personoplysninger - behandlingens formål, karakter og sammenhæng

Nu er det tid til trin for trin at kortlægge, præcis hvad du vil gøre med fru Jensens data, som du indsamlede, da hun blev medlem af din organisation. Hvordan opbevarer du det? Hvem har adgang til det? Samt det større billede: Hvad er det forventede udbytte for de registrerede, den dataansvarlige og samfundet som helhed. Her kan du eventuelt vedlægge en dataflowanalyse der viser, hvordan personoplysningerne flyder i organisationen fra indsamling til sletning.

Dette trin er i øvrigt også afgørende for administrationen af jeres Fortegnelser.

4. Vurdering af nødvendigheden og proportionaliteten

Overvej hvordan du sikrer overholdelse af databeskyttelsesloven. Hvad er det lovlige grundlag for behandling? Opnår behandlingen sit formål? Og hvordan håndteres samtykke fra de registrerede?

5. Databehandlere, videregivelse og tredjelandsoverførsler

Her anføres det, hvordan det sikres, at eventuelle databehandlere og underdatabehandlere overholder de databeskyttelsesretlige regler. Tag stilling til om der overføres personoplysninger til modtagere i tredjelande og internationale organisationer samt hvordan de håndteres.

6. Risici og foranstaltninger

Hvad er det værste, der kan ske for fru Jensen? Tab af kontrol over egen data? Forskelsbehandling? Identitetstyveri? Fysisk skade? Du skal overveje både sandsynligheden og alvoren af mulig skade samt hvilke foranstaltninger, der tages for at mitigere risici.

7. Godkendelse, sammenfatning og opfølgning

Du er nået til den (foreløbige) afslutning på din DPIA-proces. Husk, at du ikke altid behøver at eliminere enhver risiko. Du kan beslutte, at nogle risici, og endda en høj risiko, er acceptable i betragtning af fordelene ved behandlingen og vanskelighederne med at afbøde risiciene. Rådfør dig med jeres DPO. Og husk, at ledelsen bør godkende konsekvensanalysen, da det er dem, der står til ansvar. Ledelsen bør også beslutte, om konsekvensanalysen helt eller delvist skal offentliggøres. En offentliggørelse kan være med til at skabe bedre gennemsigtighed. Fremfor at offentliggøre hele konsekvensanalysen, kan en offentliggørelse bestå af for eksempel et ledelsesresumé.

Det er det. Du er nu et skridt tættere på at skabe et sikkert miljø for dine registrerede og deres data samt sikre robust compliance i din organisation.


I Wired Relations støtter vi jer gennem alle syv trin i jeres DPIA. Vi hjælper med at organisere og dokumentere hele processen ved implementering af nye systemer.

Book en demo for at se det i praksis.

Download DPIA Master Class

DPIA-processen er afgørende, når din organisation overvejer et nyt system eller en ny proces. Vi har lavet en online Master Class i at mestre det. Du lærer, hvordan du sætter din organisation op til processen, hvordan du samarbejder med din organisation, og hvordan du effektivt udfører de enkelte trin.

Download optagelsen af vores online Master Class (på engelsk) her:

Masterclass I - Diving into the steps to take

Masterclass II - Seuring buy-in and collaboration

Download vores E-bog: Your roadmap to achieving DPIA excellence

Lav juridisk holdbare DPIA’er hurtigere

I Wired Relations finder du et DPIA rammeværktøj udarbejdet af Poul Schmith / Kammeradvokaten, og som er opdateret i henhold til Datatilsynets nyeste skabelon.

Læs mere