GDPR › GDPR dokumentation og compliance

Konsekvensanalyse

Du skal udarbejde en konsekvensanalyse, når behandlingen af personoplysninger medfører en høj risiko for de registrerede. I denne artikel gennemgås disse krav.

Book demo
DPIA

Indholdsfortegnelse

    Konsekvensanalyser 

    GDPR kræver, at du skal udarbejde en konsekvensanalyse, hvis din behandling af personoplysninger kan have betydelige negative konsekvenser for vedkommende.   

    En konsekvensanalyse er en detaljeret risikovurdering, som skal følge de specifikke krav, som er angivet i GDPR-reglernes artikel 35. 

    Hvornår skal du udføre en konsekvensanalyse? 

    Du skal altid gennemføre en konsekvensanalyse, når din behandling af personoplysninger sandsynligvis medfører en høj risiko for folks rettigheder og friheder. Risikoen kan for eksempel være fysisk, økonomisk eller være en påvirkning på privatlivet. 

    Hvis behandlingen af personoplysninger bruger helt nye teknologier eller kendte teknologier på en ny måde, så er det særligt relevant at foretage en konsekvensanalyse. Nye teknologier kan medføre risici, som endnu ikke er kendte, f.eks. i forhold til privatlivets fred.  

    Eksempler på teknologier, hvor en konsekvensanalyse typisk er nødvendig er ved brug af iris-scanning eller kunstig intelligens (AI) 

    Vær dog opmærksom på, at et nyt IT-system ikke nødvendigvis betyder, at der er tale om ny teknologi. 

    Tre situationer, hvor konsekvensanalyse er påkrævet 

    GDPR artikel 35, stk. 3 beskriver dog også tre situationer, hvor du altid skal lave en konsekvensanalyse.

    1. Automatisk vurdering og profilering, der påvirker personer væsentligt

    Når der foretages en systematisk og omfattende vurdering af personlige forhold, som bruger teknologi til at foretage behandlingen automatisk, og som anvendes til at træffe afgørelser om vedkommende, så skal der altid laves en konsekvensanalyse. 

    Et eksempel herpå er en fodboldklub, der inden en stor kamp undersøger publikum for potentielle sikkerhedsrisici ved at sammenligne billetkøbere med offentligt tilgængelige data. Denne behandling kan føre til, at nogen nægtes adgang, selvom de har købt billet, og derfor skal der gennemføres en konsekvensanalyse.

    2. Omfattende behandling af følsomme oplysninger eller oplysninger om strafbare forhold

    Hvis du behandler store mængder følsomme personoplysninger eller data om strafbare forhold, så skal du udføre en konsekvensanalyse.  

    I denne kontekst kan du vurdere et "stort omfang" ved at se på antallet af personer, mængden af data, varigheden af behandlingen og geografisk rækkevidde af behandlingen.  

    Et eksempel herpå er en national platform til patientjournaler, hvor følsomme personoplysninger behandles for et stort geografisk område og behandles i en lang periode.

    3. Omfattende overvågning af offentlige områder

    Hvis din organisation overvåger offentlige områder i stort omfang, f.eks. med videokameraer, skal du lave en konsekvensanalyse. Overvågning har stor betydning for privatlivet, da folk vil have svært ved at undgå overvågning eller kontrollere, hvordan deres data bruges. 

    Hvordan udføres en konsekvensanalyse? 

    Det første skridt til at lave en konsekvensanalyse er at identificere behovet for at udarbejde den, og det gør du ved at risikovurdere alle dine behandlinger af personoplysninger i organisationen. Hvis du identificerer en høj risiko ved en behandler eller et af de 3 scenarier beskrevet tidligere, så skal du tage skridtet videre og udføre en konsekvensanalyse. 

    En konsekvensanalyse er først og fremmest en risikovurdering, men den er pålagt nogle specifikke krav i GDPR-reglerne for hvordan, at den skal udføres. Ifølge GDPR artikel 35, stk. 7, skal din konsekvensanalyse mindst indeholde følgende: 

    • En systematisk beskrivelse af behandlingen og formålet med den. 
    • En klar vurdering af, om behandlingen er nødvendig og rimelig i forhold til formålet med behandlingen. 
    • En vurdering af risiciene for personernes rettigheder, friheder og privatliv. 
    • Beskrivelse af hvordan du reducerer risiciene, f.eks. gennem tekniske eller organisatoriske foranstaltninger. 

    I nedenstående gennem vi hvordan, at du kan udarbejde konsekvensanalysen, så du følger kravene. 

    Beskrivelse af behandlingsaktiviteten 

    Når du udarbejder en konsekvensanalyse, skal du først redegøre for den behandling af persondata, som konsekvensanalysen vedrører. Denne beskrivelse svarer nogenlunde til indholdet i din fortegnelse. 

    1. Beskriv tydeligt, hvorfor konsekvensanalysen er nødvendig, hvad behandlingen skal opnå, og hvilke arbejdsprocesser den understøtter.

    2. Klarlæg, hvilke typer data, der behandles, hvor de kommer fra, formålet med behandlingen, og hvor længe data opbevares.

    3. Hvem vedrører data? Omfatter det særligt udsatte grupper, f.eks. børn eller patienter?

    4. Beskriv teknologien der anvendes til at foretage behandlingen af personoplysninger.

    5. Forklar hvordan behandlingen påvirker de involverede personer og samfundet.

    6. Hvis data deles med andre parter, så beskriv også dette tydeligt. 

    Vurdering af lovlighed 

    Når du har beskrevet behandlingsaktiviteten, så bør du redegøre for lovligheden af behandlingen.  

    1. Vurder hvilket lovgrundlag, der muliggør behandlingen.

    2. Vurder, om formålet er klart og rimeligt, og om behandlingen er nødvendig og passende.

    3. Beskriv hvordan du sikrer, at data er korrekte og slettes rettidigt.

    4. Beskriv datasikkerheden, og hvordan du håndterer eventuelle sikkerhedsbrud.

    5. Beskriv hvordan du håndterer de registreredes rettigheder.

    6. Beskriv databehandlere og evt. dataoverførsel udenfor EU. 

    Evalueringskriterier for sandsynlighed og konsekvens 

    Efter vurderingen af behandlingens lovlighed, så bør du vurdere risikoen for personers rettigheder og friheder. ”Risiko” findes ved at vurdere mulige hændelser med negative konsekvenser for de registrerede fx: 

    • Identitetstyveri 
    • Økonomisk tab 
    • Skader på omdømme 
    • Diskrimination 
    • Tab af fortrolige data 

    Risikoniveauet afgøres af, hvor sandsynligt det er, at disse hændelser sker, samt de potentielle negative konsekvenser. Denne vurdering skal være objektiv og tage højde for behandlingens karakter, formål og omfang.  

    Inddragelse af databeskyttelsesrådgiveren 

    Hvis din virksomhed har udpeget en databeskyttelsesrådgiver (DPO), så skal du altid involvere denne i udarbejdelsen af konsekvensanalysen.  

    Inddragelse af interessenter 

    Når det vurderes relevant og passende, så bør du også inddrage de registrerede. Det kan fx gøres ved at høre interesseorganisationer om deres vurdering af konsekvensanalysens indhold. 

    Nedbringning af risikoen 

    Hvis konsekvensanalysen viser en høj risiko, så skal du også beskrive, hvordan den kan reduceres. Det kan ske gennem øget datasikkerhed, justerede arbejdsgange eller begrænset adgang til data. Du bør tydeligt forklare, hvilke tiltag der implementeres, hvem der er ansvarlig for dem, og hvornår de skal være implementeret. 

    Høring af Datatilsynet 

    Hvis din konsekvensanalyse viser, at behandlingen indebærer en høj risiko for de registrerede selv efter at have implementeret organisatoriske og tekniske foranstaltninger, så skal Datatilsynet inddrages før behandlingen kan finde sted.  

    Ved høringen af Datatilsynet skal følgende information medsendes: 

    • Klar beskrivelse af ansvarsfordelingen mellem den dataansvarliges, databehandlere og eventuelt fællesdataansvarlige. 
    • Behandlingens formål, samt hvordan den foretages i praksis. 
    • Beskyttelsesforanstaltninger. 
    • Databeskyttelsesrådgiverens kontaktoplysninger 
    • Selve konsekvensanalysen 

    Løbende revision 

    Konsekvensanalysen bør løbende gennemgås og opdateres, især hvis der sker ændringer i behandlingen, som fører til en ændring af risikobilledet. 

    Konsekvensanalyse skabelon 

    Det er et stort ansvar at udarbejde en konsekvensanalyse, som har indvirkning på en organisations drift og planlægning. Hvis du får ansvaret for at udføre en konsekvensanalyse, så kan du tage udgangspunkt i Datatilsynet skabelon. 

    Datatilsynet har udarbejdet en konsekvensanalyse skabelon i en excel-fil, som du kan downloade på deres hjemmeside. 

    En konsekvensanalyse hænger tæt sammen med Privacy by Design og Privacy by Default — vurderingen hjælper dig med at identificere de tekniske og organisatoriske foranstaltninger, der skal til for at bygge databeskyttelse ind fra starten, som krævet af GDPR artikel 25.

    Kunstig intelligens og konsekvensanalyser 

    Hvis din konsekvensanalyse vedrører brugen af kunstig intelligens, så bør du også tage et kig på AI-forordningen, som regulerer brugen heraf, og særligt når teknologien kan medføre nye og betydelige risici, som derfor kræver særlig opmærksomhed. 

    Yderligere læsning 

    Du kan læse mere om konsekvensanalyse i følgende kilder: 

    Oftest stillede spørgsmål om Konsekvensanalyser for databeskyttelse

    Hvad er en konsekvensanalyse for databeskyttelse (DPIA)?

    En DPIA er en detaljeret risikovurdering, der kræves under GDPR artikel 35, når databehandling sandsynligvis vil medføre høj risiko for enkeltpersoners rettigheder og friheder. Den evaluerer systematisk nødvendigheden og proportionaliteten af behandlingen, identificerer risici og foreslår foranstaltninger til at afbøde dem.

    Hvornår er en DPIA obligatorisk under GDPR?

    En DPIA er obligatorisk i tre scenarier: (1) ved automatisk beslutningstagning, der systematisk evaluerer personoplysninger og påvirker enkeltpersoner, (2) ved behandling af store mængder følsomme personoplysninger eller straffeattester, og (3) ved omfattende overvågning af offentlige områder.

    Hvad skal en DPIA indeholde?

    Under GDPR artikel 35(7) skal en DPIA indeholde: en klar beskrivelse af hvilke data der behandles og hvorfor, en vurdering af om behandlingen er nødvendig og proportional, en evaluering af potentielle risici for enkeltpersoner, og en beskrivelse af foranstaltninger til at reducere eller håndtere disse risici.

    Hvem er ansvarlig for at gennemføre en DPIA?

    Den dataansvarlige er ansvarlig for at gennemføre DPIA'en. Hvis en databeskyttelsesrådgiver (DPO) er udpeget, skal deres rådgivning indhentes under processen. Databehandleren kan også være nødt til at bistå med at levere relevante oplysninger om deres behandlingsaktiviteter og sikkerhedsforanstaltninger.

    Hvad sker der, hvis jeg ikke gennemfører en påkrævet DPIA?

    Manglende gennemførelse af en påkrævet DPIA er en GDPR-overtrædelse, der kan resultere i betydelige bøder. Vigtigere endnu betyder det, at potentielle høje risici for enkeltpersoners data ikke er blevet identificeret eller afbødet, hvilket øger sandsynligheden for databrud.

    Kan jeg bruge en skabelon til min DPIA?

    Ja, brug af en skabelon er en praktisk tilgang til at sikre, at din DPIA opfylder alle GDPR-krav. Skabeloner hjælper med at standardisere processen på tværs af din organisation, sikre konsistens og gøre det lettere at dokumentere og gennemgå vurderinger.

    Hvornår skal jeg konsultere tilsynsmyndigheden om min DPIA?

    Du skal konsultere din tilsynsmyndighed før behandling, hvis din DPIA identificerer høje risici, som du ikke tilstrækkeligt kan afbøde. Myndigheden vil give skriftlig rådgivning og kan bruge sine beføjelser til at forbyde eller begrænse behandlingen.

    Hvordan udløser ny teknologi et DPIA-krav?

    Brug af ny teknologi som irisscanning, kunstig intelligens eller avancerede profileringssystemer kan udløse et DPIA-krav, fordi disse teknologier kan skabe nye risici for enkeltpersoners rettigheder og friheder. Implementering af et nyt IT-system udgør dog ikke automatisk ny teknologi, der kræver en DPIA.

    Hvor ofte bør en DPIA gennemgås?

    DPIA'er bør gennemgås regelmæssigt og når der sker væsentlige ændringer i behandlingsaktiviteten, den anvendte teknologi, risikolandskabet eller det regulatoriske miljø. Det er god praksis at gennemgå DPIA'er mindst årligt eller når nye risici identificeres.

    Hvad er forskellen mellem en DPIA og en almindelig risikovurdering?

    Mens begge vurderer risici, er en DPIA specifikt krævet af GDPR og skal følge særlige krav i artikel 35. Den fokuserer på risici for enkeltpersoners rettigheder og friheder fra databehandling, skal inkludere en vurdering af nødvendighed og proportionalitet, og kan kræve konsultation med tilsynsmyndigheden.

    Relaterede artikler om databeskyttelsesvurderinger

    Opdag mere om GDPR-risikovurderinger, compliancedokumentation og beskyttelse af enkeltpersoners datarettigheder.

    Processing activities

    .legal compliance platform Forenkl dine konsekvensanalyser for databeskyttelse

    Brug .legal til at gennemføre og dokumentere DPIA'er effektivt med indbyggede skabeloner og risikovurderingsværktøjer, der sikrer fuld GDPR-overholdelse.
    • Indbyggede DPIA-skabeloner
    • Automatiseret risikoscoring og sporing
    • Komplet dokumentation for revisorer
    • Understøttelse af konsultationsworkflow
    Book demo
    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl