Professionel der gennemfører risikoanalyse og DPIA ved skrivebord
DatasikkerhedArtikel 35

Risikovurdering

GDPR anlægger en risikobaseret tilgang til databeskyttelse. Det betyder, at sikkerhedsforanstaltningerne skal stå i forhold til risikoen ved den konkrete databehandling. For behandlinger med høj risiko kræver GDPR en konsekvensanalyse vedrørende databeskyttelse (Data Protection Impact Assessment, DPIA).

Hvornår kræves en DPIA?

En DPIA er obligatorisk, når en type behandling sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder. GDPR nævner tre eksempler: systematisk og omfattende evaluering af personlige forhold baseret på automatisk behandling, herunder profilering; behandling i stort omfang af særlige kategorier af oplysninger (følsomme data) eller straffedomme; og systematisk overvågning af et offentligt tilgængeligt område i stort omfang. Datatilsynet har desuden udgivet en liste over behandlingstyper, der kræver DPIA i Danmark.

Indholdet af en DPIA

En DPIA skal mindst indeholde: en systematisk beskrivelse af de påtænkte behandlingsaktiviteter og formålene med behandlingen; en vurdering af behandlingsaktiviteternes nødvendighed og proportionalitet; en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder; og de planlagte foranstaltninger til håndtering af risiciene. DPIA'en skal udarbejdes før behandlingen påbegyndes og skal opdateres løbende, hvis risikoprofilen ændrer sig.

Forudgående høring

Hvis DPIA'en viser, at behandlingen vil medføre en høj risiko, som den dataansvarlige ikke kan nedbringe tilstrækkeligt, skal Datatilsynet høres, inden behandlingen påbegyndes. Datatilsynet har op til otte uger til at give skriftlig rådgivning. I praksis bør virksomheder altid forsøge at mitigere risiciene gennem passende foranstaltninger, inden de henvender sig til Datatilsynet, da høringen typisk er et tegn på utilstrækkelig risikobehandling.

Trin-for-trin guide

  1. 1

    Vurder om DPIA er påkrævet

    Afgør om din behandling sandsynligvis medfører høj risiko for de registreredes rettigheder. Tjek Datatilsynets liste over behandlingstyper der kræver DPIA.

  2. 2

    Beskriv behandlingsaktiviteterne

    Dokumenter formålet, arten, omfanget og sammenhængen for den planlagte databehandling systematisk.

  3. 3

    Vurder nødvendighed og proportionalitet

    Evaluér om behandlingen er nødvendig og proportional i forhold til formålet, og om der findes mindre indgribende alternativer.

  4. 4

    Identificer og vurder risici

    Kortlæg de potentielle risici for de registreredes rettigheder og frihedsrettigheder, herunder sandsynlighed og alvorlighed.

  5. 5

    Planlæg foranstaltninger

    Definer tekniske og organisatoriske foranstaltninger til at mitigere de identificerede risici til et acceptabelt niveau.

Vigtigste punkter

  • DPIA er obligatorisk for behandling med høj risiko
  • Skal udføres FØR behandlingen påbegyndes
  • Skal omfatte beskrivelse, nødvendighed, risici og foranstaltninger
  • Datatilsynet skal høres hvis risikoen ikke kan mitigeres tilstrækkeligt
  • DPIA skal opdateres løbende ved ændringer i risikoprofilen

Læs også

KrypteringAdgangskontrolDPO-rollenDataansvarlig
Tilbage til datasikkerhed