Indsatser: konsekvensanalysen

Det nævnes i forordningen - indtil flere gange - og jeg nævner det indtil flere gange; det bliver sagt overalt, men hvad er reelt set en konsekvensanalyse for en størrelse?

Ifølge Artikel 29-gruppen[1] er konsekvensanalysen "en proces, der skal bidrage til at skabe og påvise overensstemmelse" dvs dokumentere at du lever op til GDPR's regulativer. Du kan læse gruppens vejledning i revision 01 her.

risikoanalyser.dk har en kleppert af slagsen liggende på deres hjemmeside - den har jeg lånt til formålet her: at gennemgå hvordan konsekvenserne af behandling[2] af personoplysninger analyseres (det er jo når det kommer til stykket, det ordet betyder, tænker jeg). Det er imidlertid ikke helt det, der lægges op til i eksemplet fra risikoanalyser.dk. Her er det ikke konsekvensen af behandling, men konsekvensen af at besvare spørgsmålene! Besvarer man spørgsmålene bekræftende, har det den konsekvens, at man skal ændre sin behandling, eller rutinerne omkring den.

Spørgsmålene er (for en stor dels vedkommende) ganske udemærkede, så dem har jeg ladet mig inspirere meget af, ved opbygningen af den følgende

Konsekvensanalyse

Dokumentation

I det følgende har du mulighed for at læse/overveje en række spørgsmål, og du kan eventuelt bruge dem til at udfylde en SIPOC eller en tegning - men du kan også gøre det til en skriftlig afhandling, som du gemmer, som dokumentation for at du har overvejet konsekvenserne, og på den baggrund valgt at gøre, som du nu gør og har formaliseret.

Er det nødvendigt

Du kan bande på at det er nødvendigt! Manglende overholdelse af kravene til en konsekvensanalyse vedrørende databeskyttelse kan føre til at den kompetente tilsynsmyndighed (det vil typisk være Datatilsynet i Danmark) pålægger bøder! Foretages der ikke analyser hvor behandlingen påkræver det (Artikel 35, stk 1, 3 og 4) eller udføres de forkert (Artikel 35, stk 2, 7-9) eller bliver tilsynsmyndigheden ikke hørt hvor det er obligatorisk (Artikel 36, stk 3 litra e), kan der vanke bøder på op til 10mio EUR, eller hvis det er en virksomhed, op til 2% af virksomhedens samlede globale omsætning på årsplan i det foregående regnskabsår, såfremt dette beløb er større!!

Så - ja - jeg vil sige at det er nødvendigt!

Handleplaner

Endelig er der de situationer, hvor et spørgsmål igangsætter en lavine af dårlig samvittighed, anger, trang til gengældelse, tilgivelse - forbedring: kort sagt, du vælger at sætte en handlingsplan i værk, til ud/for-bedring af procedurer, arbejdsgange, politikker.

En sådan handleplan bør

  1. pege på en ansvarlig
  2. angive datoen hvor planen sættes i værk
  3. angive datoen for hvornår indsatsen forventes færdig
  4. opremse de ressourcer der allokeres/investeres i indsatsen
  5. vise, hvem der har godkendt planen
  6. naturligt primært handle om indsatsen; hvad er det, der skal etableres, udbedres, forbedres, op-/ombygges, indskærpes
  7. referere til konsekvensanalysen
  8. angive hver revision, fremskridt, og evt %-færdig

Handleplanerne arkiveres derefter (sammen med den øvrige GDPR rettede dokumentation) så det er enkelt at tilgå, og nemt at revidere.

Høring

Lykkes det ikke, uanset analyse og handleplaner, at reducere risici ifm en arbejdsgang, proces eller et sæt af særlige personoplysninger, er du pligtig at høre Datatilsynet, og hvis det i sit høringssvar peger på dansk lovgivning som kræver at du opnår en tilladelse til behandling, kan du ikke begynde eller fortsætte behandlingen uden.

Analysen

hvilke oplysninger er det, du behandler?

Her snakker vi ikke om klumper, abstrakte størrelser som "medarbejder oplysninger" eller "instanser af klassen Customer" - vi er nede i suppen: mål, vægt, skostørrelse, profil-billede, alder, køn, osv.

er oplysningerne om fysiske personer?

De fleste som 'roder med GDPR' kigger opgivende op i loftet nu, ikke? Der er dog en enkelt finte indbygget! Enkeltmandsvirksomheder er reelt også fysiske personer! Nå, hva' be'har!

kan enkeltpersoner blive identificeret ud fra oplysningerne? Hvordan?

Det er måske ikke umiddelbart indlysende, men med "adressen" og "fodstøvler i str 46" er det faktisk muligt at identificere (unge) mænd på "adressen" - men eksemplet vil lige helt ude i rabatten, for det vil først skulle bevises, at der ikke har befundet sig flere (unge) mænd på adressen, eller at den ene, der befinder sig der, har bestilt støvlerne til en kammerat!

Modsat - kan identifikation ikke lade sig gøre - kan du slippe nådigt. GDPR Artikel 11

er oplysningerne af privat karakter?

Dette spørgsmål vil gerne vide om de oplysninger, du behandler, er af den særlige slags - altså de såkaldt følsomme oplysninger (se Artikel 9 i forordningen, samt læs mine kvababelser her)

hvad skal du med oplysningerne?

Ikke at det ifølge forordningen gør nogen særlig forskel, men hvis du nu bare indsamler oplysningerne, men ikke gør noget ved dem overhovedet, så kunne du måske bare helt lade være?

hvad er formålet med at behandle oplysningerne?

Nu er vi så straks videre - du samler ikke bare ind - du bruger dem til noget! Hvorfor bruger du dem? Kunne du bruge noget andet i stedet?

når du har brugt dem - bliver de så 'genbrugt'?

Et er at du bruger dem, men bruger du dem også til andet?

er der en risiko for at oplysningerne kan/vil blive brugt til andet?

Uanset om du svarede ja på det foregående spørgsmål, er her et til af slagsen! Hvis der ligger en lille stak private oplysninger og roder på hjørnet af et skrivebord - kan du så forestille dig, at der kommer en lille datatrold og (mis)bruger oplysningerne til et helt andet formål, end de oprindeligt blev indsamlet til?

hvem er den dataansvarlige?

Det er ikke nok at svare, at det er 'vi' - du må være mere præcis, og hvis der er flere som deler ansvaret (én har med kunderne at gøre, en anden med medarbejdere, osv) så er det dem alle, du skal liste.

Den dataansvarlige afgør hvilke formål oplysningerne kan/bliver behandlet mod, samt hvilke behandlinger der må foretages.

hvem har mulighed for at se, redigere eller fjerne personoplysninger?

Det er et åbent spørgsmål - men det er vigtigt at forsøge at besvare det så nøjagtigt og præcist som muligt; især jo vigtigere, mere private/følsomme, og nøjagtige oplysningerne er.

Svar som 'alle', 'nogen', 'enkelte' vil helt klart ikke vække jubel hos Datatilsynet, og du kan heller ikke selv bruge det til at afdække, hvor blotlagte dine indsamlede oplysninger er!

er der en risiko for at personoplysningerne kan falde i uvedkommendes hænder?

Nu har du så afklaret, hvem der har adgang til oplysningerne. Er nogen af dem 'uvedkommende'? Bliver oplysningerne flyttet, hvor imens det måske kan lade sig gøre at få adgang dem? Måske i emails, USB-stik, Drop-box, el. lign.

hvad sker der med oplysningerne mens du 'er i berøring' med dem?

Dette spørgsmål omfatter hele arbejdsgangen, fra du 'samler' en oplysning op, til du er færdig med den igen - og det gælder for hvert data-punkt (profil billedet, sko størrelsen, kønnet, adressen, osv)

hvordan bliver oplysningerne opbevaret?

Mens du 'er i berøring' med oplysningerne - hvor gemmer du dem da? I din sko, en vasketøjskurv, en filserver, i 'skyen', eller på et hulkort?

er teknologierne der benyttes til arkiveringen designet til at opbevare personoplysninger?

Vi har slået fast at du gemmer oplysningern - men hvor sikkert er det at bruge denne/disse teknologi/-er til at gemme personoplysninger? Bliver systemerne automatisk opdateret, overvåget, vedligeholdt, så der konstant er den bedst mulige sikkerhed omkring oplysningerne; eller ligger de på en gammel Windows Server 2003, sluttet direkte til Internet med et netstik?

vil oplysningerne kunne skade de berørte, hvis uvedkommende fik adgang?

Oplysningerne er tilgængelige og det er muligt at uvedkommende kunne få adgang; men betyder det at oplysningerne ville kunne skade de berørte på helbred, renommé, økonomisk eller anden vis, hvor det kan slås fast at vedkommende har lidt et tab?

kan der ske utilsigtede ændringer i eller tilintetgørelse af oplysningerne?

Et er at oplysningerne ikke kan skade berørte, men kan det tænkes at uvedkommende kan rette i oplysningerne, eller tilintetgøre nogen eller alle oplysningerne - og eventuelt derved skade berørte?

hvem sørger for sikringen af oplysningerne?

Her skal du igen være præcis; hvem er den/de fysiske person(er) som har ansvaret for at sikre oplysningerne?

hvilke procedurer følger de ansvarlige for sikringen af oplysningerne?

Er det kun i forbindelse med arkiveringen, eller bliver sikkerhedsrisici periodisk vurderet overalt i virksomheden, hvor der sker behandling af personoplysninger? Hvad indebærer sådanne sikkerhedsrisici vurderinger? Bliver de, der har adgang til oplysninger også revideret/undersøgt/vurderet?

hvor værdifulde er personoplysningerne?

Repræsenterer personoplysningerne så store værdier at det i sig selv kan være et mål for indbrud, tyveri, forvranskning, tilintetgørelse, eller anden skadelig virksomhed med det til følge, at berørte lider et tab? At din virksomhed lider et tab? Hvad gør du for at minimere disse risici?

kan berørte få indsigt i hvordan deres oplysninger bliver behandlet?

Her har vi fat i en af de rettigheder som berørte har. Hvordan kan berørte få en sådan indsigt, hvor detaljeret kan de få indsigt, og hvilken procedure er i effekt til sikring af denne ret? Hvordan dokumenteres det, så det efterfølgende kan bevises at din virksomhed lever op til GDPR Artikel 15

får berørte besked om hvordan deres oplysninger bliver behandlet før deres oplysninger bliver indsamlet?

Endnu en ret. Samme omgang! GDPR Artikel 13 og 14.

kan berørte give deres samtykke til behandling?

Samme skuffe - en anden artikel. GDPR Artikel 6-7

bliver oplysningerne overhovedet behandlet lovligt?

Det er ikke urelevant at overveje om den behandling (om det så er at indsamle information om forbrugernes forbrug af euforiserende stoffer, eller registrere at de har besøgt pornhub.com, eller beregne overarbejdstimer) overhovedet er lovlig foretaget. GDPR Artikel 6

hvordan kan berørte begrænse behandlingen af deres oplysninger?

Mange oplysninger er påkrævede for at levere en opgave, gennemføre et salg, mm - men nogen er måske blot 'nice to have' og ikke bydende nødvendige for at købe et par sko fx. Berørte skal have muligheden for at afvise at deres oplysninger bliver behandlet - måske med den konsekvens, at de så ikke handle hos dig. Kan de det? Hvordan er proceduren, og hvordan dokumenteres det, at berørte er blev informerede om det, og har fået muligheden, eller udnyttet den? Det er GDPR Artikel 18

kan berørte trække deres samtykke tilbage?

Nu har de givet det - men kan de også trække det tilbage igen? Det er endnu en rettighed, og hvad er proceduren for det; og hvordan dokumenteres det? GDPR Artikel 7 siger de kan!

hvordan kan berørte forlange at deres oplysninger bliver slettet?

Det kan de godt - og især hvis behandlingen er tilendebragt for det formål, oplysningerne blev indsamlet til. Hvad er proceduren og hvordan dokumenterer du det?
GDPR Artikel 17

hvor dokumenterer du at berørte får deres oplysninger berigtiget?

Gemmer du et før/efter billede. Samme sang som tidligere. Procedure og dokumentation? GDPR Artikel 16

og hvad med indsigelse?

Mere af samme skuffe som tidligere! Berørte kan gøre indsigelse mod at deres oplysninger bliver behandlet. Hvad er proceduren for at leve op til det krav. Og hvordan dokumenterer du det? GDPR Artikel 21

2 tilbage: berørte har ret til ikke at blive profileret!

Nu er du næsten ovre alt det rettighedshalløj :) Som de øvrige: proceduren og dokumentationen?
GDPR Artikel 22

berørte kan bede om at få udleveret og/eller videresendt deres oplysninger (dataportabilitet)

Den sidste! Lever du op til det. Hvordan?
GDPR Artikel 20

hvad sker der når al behandling er tilendebragt?

Det er en dårlig formulering, såvel i GDPR, som i andre tekster (og her), når det først gøres klart, at behandling er alt - også sletning - og dernæst fokuserer man så på, hvad der sker når al behandling er ovre! Ja, så er der ikke mere! Sidste behandling var sletning. Punktum!

Men er det nu den sidste behandling? Er oplysningerne blevet anonymiseret og brændt på en DVD? Som nu ligger på et lager? Ligger oplysningerne revet i tusind små datablokke, usammenhængende og tilsyneladende spredt for alle vinde, fordi TOC'en er brændt? Og alligevel er det blot at løbe mediet igennem, samle datablokkene og VUPTI!?

Nå! Det styrer du selv...


  1. Artikel 29-Gruppen er nedsat ved artikel 29 i direktiv 95/46/EF. Gruppen er et uafhængigt EU-rådgivningsorgan vedrørende
    databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i
    direktiv 2002/58/EF. ↩︎

  2. husk at behandling kan være alt fra indsamling, over redigering, profilering, sammenstykning, videreformidling, til arkivering og sletning ↩︎