Sikker nok? Blog om informationssikkerhed

Skal, skal ikke? Vejledning og gode råd til udarbejdelse af en DPIA

[fa icon="calendar"] 20. december 2017 / af Jakob Holm Hansen

For nogle virksomheder ligger udarbejdelsen af en DPIA højt på listen over GDPR-opgaver, der skal styr på. Men for rigtigt mange kan en DPIA godt vente – eller i hvert fald simplificeres, så den ikke kræver for mange ressourcer. Neupart-direktør fortæller hvornår og hvordan, der skal laves en konsekvensanalyse af virksomheders databehandlinger.

GDPR har fokus på at beskytte privatlivets fred. Borgeren er i centrum. Ikke de virksomheder, der indsamler, håndterer og gemmer persondata. For at sikre, at borgeres private oplysninger slet ikke behandles eller behandles i et begrænset omfang, stiller GDPR krav om, at nogle virksomheder skal udarbejde en såkaldt Data Protection Impact Assessment (DPIA). Det kan oversættes til en konsekvensanalyse på dansk.

Det skal være en analyse af, hvad de mulige konsekvenser for den registrerede er ved håndteringen af persondata i virksomhedens processer eller systemer. Hvilke konsekvenser kan det eksempelvis have for de registrerede, at en virksomhed har opstillet videokameraer, der overvåger et offentligt område? Er det en rimelig konsekvens, eller bør aktiviteten stoppes?

Konsekvens kan være mange ting

Jakob Holm Hansen er CEO i Neupart. Han forklarer, at det er vigtigt at forstå, hvad der overhovedet menes med ordet ‘konsekvens’, når man skal overføre begrebet til en virksomheds hverdag.

“Konsekvens betyder i GDPR-regi en række forskellige ting. Dog med den fællesnævner, at det drejer sig om de tilfælde, hvor en virksomheds databehandling risikerer at forhindre eller begrænse muligheden for at udøve de basale rettigheder, man har som menneske,” siger han.

Det kan eksempelvis være offentliggørelse af private oplysninger på nettet, brud på menneskerettighederne, indførelsen af ny teknologi såsom ansigtsgenkendelse eller en automatiseret beslutningsproces såsom en systemunderstøttet kreditvurdering.

Vent med DPIA

Det er op til den enkelte virksomhed at vurdere, hvorvidt karakteren af virksomhedens databehandling kan true den registreredes privacy på nogen måde. Er det ikke tilfældet, anbefaler Jakob Holm Hansen, at man parkerer opgaven. 

“Virkeligheden er, at det er et fåtal af virksomheder, der skal lave en DPIA. Hvis man ikke håndterer følsomme oplysninger som en del af kerneforretningen, så anbefaler vi ikke, at man laver en DPIA. I hvert fald ikke i første omgang. For DPIA’en er primært tiltænkt virksomheder med databehandlinger i stort omfang og af en særlig karakter,” siger han.

Hent Neuparts vejledning til implementering af databeskyttelsesforordningen 

Gør det så simpelt som muligt

Hvis man skal udarbejde en DPIA, opfordrer Jakob Holm Hansen virksomheder til at gøre det i en simpel udgave. Der er ikke noget formkrav til en DPIA. Der findes en grundlæggende tjekliste i et arbejdspapir fra EU, som man kan skele til. Men indenfor de rammer er der stor frihed.

“For at begrænse arbejdsomfanget er der også mulighed for at dele konsekvensanalyser. Offentlige eller private virksomheder, der har samme databehandlinger, behøver ikke at lave individuelle DPIA’er, men kan genbruge samme analyse på tværs af organisationer,” siger Jakob Holm Hansen.

Byg et balanceret sikkerhedsniveau

GDPR og det danske Datatilsyn, som skal håndhæve lovgivningen, lægger vægt på proportionalitet, når de skal vurdere en virksomheds indsats for at leve op til GDPR. Så hvis man generelt har et fornuftigt compliance-program og har truffet rimelige sikkerhedsforanstaltninger i forhold til typen og omfanget af databehandlinger, er det ikke udførligheden af en DPIA, der bliver afgørende i tilfælde af en sikkerhedshændelse.    

“Vores overordnede råd til virksomheder, der skal lave en DPIA, er, at de begynder med at udarbejde en begrænset version, der lever op til de basale krav til DPIA i EU’s egen tjekliste

Så kan de altid udbygge den senere, når der er styr på de andre og mere presserende GDPR-forberedelser,” slutter han.

Fem råd til udarbejdelse af en DPIA

  1. Find ud af, om I overhovedet behøver at udarbejde en DPIA. Mange virksomheder gør ikke
  2. Hvis I skal udarbejde en DPIA, så begynd med en simpel version, der lever op til de basale krav i EU’s egen tjekliste. I kan altid udbygge den senere
  3. Når I udarbejder en DPIA, så få overblikket over de registreringer, I foretager, som kan have konsekvens for de registrerede. Vurdér konsekvensen med tal på en objektiv skala fra 1-4, så I kan sammenligne niveauet fra år til år
  4. Tag stilling til, om I kan foretage tiltag, der begrænser risici for de registrerede – ex bedre netværkssikring, kryptering af harddisk, ændring af sikkerhedspolitikker m.m.
  5. Vurder løbende og mindst en gang om året, om jeres sikkerhedsniveau står mål med en konsekvensbetragtning for de registrerede. Hvis I har en DPO, skal vedkommende inddrages i denne vurdering
     

Deltag på ISO 27001 ISMS demo webinar

Emner: GDPR, eu databeskyttelsesforordningen, dpia, data privacy impact assessment

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg