GDPR: Hvornår skal man lave en konsekvensanalyse?

Persondataforordningen kræver som noget nyt i den persondataretlige verden, at der under visse omstændigheder skal udarbejdes egentlige konsekvensanalyser. En konsekvensanalyse er en vurdering af de risici, som en given behandling måtte have for de registrerede. Det er som oftest en forholdsvist omfattende og tung proces at lave en konsekvensanalyse, men det er til gengæld ikke ofte, at det er obligatorisk. I denne artikel ser vi på konsekvensanalyser.

Publiseringsdato: 
8/8/2019
Henning Mortensen
Chair of the Danish Rådet for Digital Sikkerhed

Læs mere om forfatteren

Baggrund for konsekvensanalysen under persondataforordningen (GDPR)

Konsekvensanalyse er et redskab til at vurdere konsekvenserne for de registrerede ved en given behandling af personoplysninger. Konsekvensanalyser har været et kendt redskab i persondataretten i de sidste ti år, men med forordningen er brugen af dem obligatorisk.

Konsekvensanalyser er som nævnt et redskab, der består af en analyse og en proces. Analysen sikrer, at de rette spørgsmål bliver stillet og processen sikrer, at spørgsmålene bliver stillet på det rette tidspunkt i et it-projekts udviklingsmodel.

Konsekvensanalyser skal anskues som noget mere omfattende end en risikovurdering. Selv om der ikke i forordningen er referencer til bestemte standarder, som skal følges, har det danske justitsministerium lagt op til at de dataansvarlige kan bruge ISO29134. Dette er en omfattende og meget grundig standard.

Området har været genstand for en vis debat i Danmark. It- og Telestyrelsen lavede for en del år siden et godt udkast til en dansk skabelon, som desværre ikke overlevede høringsrunden. Dansk Industri udgav herefter en vejledning om emnet.

Snævert anvendelsesområde for konsekvensanalyser

Der er lagt op til, at der kun skal laves konsekvensanalyser under forholdsvist snævre forudsætninger. Først og fremmest skal risikovurderingen have vist, at der er høj risiko for de registreredes rettigheder og frihedsrettigheder. Desuden skal et af nedenstående forhold være opfyldt:

  • Der skal være en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person ELLER
  • Der skal foretages behandling i stort omfang af særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10 ELLER
  • Der skal foretages systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

Datatilsynene har lavet lister over, hvornår de vurderer, at det er obligatorisk at lave konsekvensanalyser. Det danske Datatilsyn har lagt vægt på følgende elementer:

  • Behandling af biometriske data til identifikation
  • Behandling af genetiske data
  • Behandling af lokationsdata
  • Behandlingen leder til høj risiko for de registrerede
  • Behandlingen sker med innovativ teknologi
  • Behandling sker med det formål at træffe automatiske afgørelser i forhold til produkter, services, muligheder eller fordele
  • Behandlingen profilerer registrerede i stort omfang
  • Behandling af sårbare registrerede eller omfattende følsomme oplysninger til automatiserede afgørelser og behandlinger, hvor der kan være en direkte konsekvens for registreredes helbred eller sikkerhed

Tilsvarende har de andre EU-landes Datatilsyn lavet positivlister for, hvornår der skal laves konsekvensanalyser. Det vil være de færreste organisationer, som kommer til at lave større mængder af konsekvensanalyser.

Hvad skal en konsekvensanalyse indeholde?

På overfladen er konsekvensanalysens omfang ganske uskyldigt. Der skal redegøres for:

  • De planlagte behandlingsaktiviteter og formålene med behandlingen, herunder i givet fald de legitime interesser, der forfølges af den dataansvarlige
  • Om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene
  • Risiciene for de registreredes rettigheder og frihedsrettigheder og
  • De foranstaltninger, der påtænkes for at imødegå disse risici, herunder garantier, sikkerhedsforanstaltninger og mekanismer, som kan sikre beskyttelse af personoplysninger og påvise overholdelse af denne forordning, under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.

I praksis er det imidlertid ikke simpelt. De frameworks, som er lavet til at gennemføre konsekvensanalyser, er generelt omfattende!

Der skal nedsættes et team, tildeles ressourcer, fastlægges et scope, indhentes informationer bl.a. gennem interviews, fastlægges et flow af personoplysninger, kortlægge brugernes adfærd, kortlægges eksisterende korrigerende foranstaltninger, identificeres risici med tilknyttede konsekvenser og sandsynligheder for relevante involverede aktører, udvælges og implementeres ekstra foranstaltninger, etableres kontroller, lave konsekvensanalyserapport, reviewe og fastholde en ændringsstyringsproces.

Hvis risiciene ikke kan reduceres tilstrækkeligt, skal der desuden foretages forudgående høring hos tilsynsmyndigheden (Datatilsynet). Tilsynet skal efterfølgende rådgive organisationen og kan kræve alle andre nødvendige oplysninger i sagen forelagt.

Links

EDPBs liste over konsekvensanalyser i de forskellige medlemslande: https://edpb.europa.eu/our-work-tools/our-documents/topic/data-protection-impact-assessment-dpia_da.

ISO 29134: https://webshop.ds.dk/da-dk/standard/ds-iso-iec-291342017.

Det britiske datatilsyns (ICO) har lavet en konsekvensanalyse (Privacy Impact Assessment) vejledning (tjek især deres word-template): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/

IT- og Telestyrelsens vejledning, som kun nåede i høring: https://hoeringsportalen.dk/Hearing/Details/13924.