Sikker nok?

GDPR: Du behøver ikke at lave en dataflowanalyse

[fa icon="calendar"] 28. juni 2017 / af Jakob Holm Hansen

 – en fortegnelse over dine behandlingsaktiviteter er nok

Er du i fuld gang med jeres GDPR-forberedelser, men hænger fast i udarbejdelsen af dataflowanalysen? Så læs med her. Du skal nemlig ikke gøre mere end det nødvendige. Og en dataflowanalyse er ikke nødvendig.

Der er ikke rigtigt nogen, der ved, hvordan rygtet er opstået. Men på et tidspunkt florerede det i professionelle kredse, at man skulle udarbejde såkaldte dataflowanalyser som en del af GDPR-forberedelsen.

Det er formentlig startet som en overfortolkning af lovteksten, og så er den bare blevet hængende. Men faktum er, at EU's Databeskyttelsesforordning ikke kræver, at man udarbejder en dataflowanalyse. Der står, at man skal lave en fortegnelse over behandlingsaktiviteter, og det er noget andet.

Justitsministeriet har desuden for nyligt udtalt om fortegnelseskravet, at: ”Kravet er ikke tiltænkt som en ”belastning” og medfører ikke i sig selv et krav om udarbejdelse af større analyser af datastrømme mv.”

Dataflowanalyse kan gå hen og blive et Sisyfos-arbejde

En dataflowanalyse er et totalbillede af hele it-landskabet – eks. netværk, infrastruktur, storage, databaser osv. – og hvordan data flyder igennem og imellem alle applikationer, nogen gange helt nede på tabelniveau.

Hvis man har bare en smule kompleksitet i sin it – og det har de fleste – så er det en gigantisk opgave. Det er ikke usædvanligt, at f.eks. en kommune anvender 200-300 forskellige systemer.

Og fordi en dataflowsanalyse løbende skal vedligeholdes, kan man begynde forfra, i det øjeblik man er færdig. Det er en Sisyfos-opgave.

Behandlingsaktiviteter er overkommelige

En dataflowanalyse kan være en god øvelse at lave for nogle virksomheder på et eller andet niveau. Men når nu EU Persondataforordningen ikke kræver, at man gør det, så er der ingen grund til, at man bruger al sin tid og kræfter på det.

En fortegnelse over alle behandlingsaktiviteter er en langt mere overkommelig opgave. En fortegnelse over alle behandlingsaktiviteter fortæller groft sagt, hvordan man behandler sine persondata og i hvilke processer.

Gør kun det nødvendige
I Neupart anbefaler man generelt, at man kun gør det nødvendige i forhold til GDPR. Ellers drukner man hurtigt i opgaver.

I stedet for at sidde fast i en stor, forkromet dataflowanalyse giver det bedre mening at lave fortegnelsen over alle behandlingsaktiviteter, så man kan komme i gang med nogle af de mange andre forberedelser til GDPR.

Tjekliste til behandlingsaktiviteter
Alle krav til et register over behandlingsaktiviteter står i Databeskyttelsesforordningen artikel 30. Som dataansvarlige skal I kunne dokumentere:

  • Navn og kontaktinformation på den dataansvarlige og DPO'en (Data Protection Officer)
  • Beskrivelse af formålet med behandlingen
  • Beskrivelse af kategorier af registrerede, personoplysninger og evt. modtagere (herunder modtagere i tredjelande eller internationale organisationer)
  • Hvor det er relevant, overførsler af personoplysninger til tredjelande eller internationale organisationer
  • Periode for behandling samt hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
  • Hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedstiltag

Dette erstatter i øvrigt den hidtidige anmeldelsespligt, og hvis man allerede har lavet anmeldelser til Datatilsynet, kan disse i vidt omfang genbruges som fortegnelser over behandlingsaktiviteter.

Læs Databeskyttelsesforordningens originaltekst her 

Øvrigt om behandlingsaktiviteter

Du finder her en revideret udgave af Neuparts vejledning til implementering af forordningen. Vejledningen bygger på en 7-trinsmodel, hvor en fortegnelse over behandlingsaktiviteter netop indgår i trin 1 - Identifikationsfasen.

Læs mere om Neuparts GDPR-modul og se, hvordan du systemunderstøtter fortegnelsen over jeres behandlingsaktiviteter. 

Emner: eu persondataforordning, GDPR, Databeskyttelse

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.