Risikovurdering og konsekvensanalyse

Konsekvensanalyser er et nyt krav indført med Databeskyttelsesforordningen. Sammen med fortegnelsespligten erstatter det den tidligere anmeldelsespligt.​

En ‘Konsekvensanalyse’ er en analyse af påtænkte databehandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.

Formål er at vurdere risici for fysiske personers rettigheder, herunder deres oprindelse, karakter og alvor, og fastlægge sikkerhedsforanstaltninger til at nedbringe disse risici.

AAU har lovbestemt pligt til at udføre konsekvensanalyser, ”hvor behandlingsaktiviteter sandsynligvis indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder”.

Konsekvensanalysen (og evt. høring af Datatilsynet) skal være foretaget inden databehandlingen (herunder indsamling) iværksættes. Alle typer databehandlinger, dvs. både administrative projekter, forskningsprojekter og IT-projekter er omfattet.
 

Værktøjet er udviklet til alle medarbejdere på AAU, der behandler personoplysninger, eksempelvis i forskning eller administrative opgaver.

Værktøjet skal tages i brug, når:

• du begynder at behandle personoplysninger på en ny måde - særligt ved brug af nye værktøjer
• der er tale om følsomme oplysninger
• der er tale om store mængder personoplysninger
• der er tale om automatisk beslutningstagning

Udfyld og indsend hellere et screeningsdokument en gang for meget end en gang for lidt.

Er du i tvivl om hvornår, du skal foretage en risikovurdering og tage screeningsværktøjet i brug, eller hvordan du griber det an i praksis, er du som altid velkommen til at kontakte Kontraktenheden på persondata@adm.aau.dk for hjælp og vejledning.

Konsekvensanalyseprocessen på AAU er en centralt styret proces med Kontraktenheden som facilitator.

Porcessen er en 4-trinsproces:

1. Screening
2. Konkret vurdering af, om der skal laves en konsekvensanalyse
3. Udførelse af konsekvensanalyse
4. Håndtering af resultatet

1) Screening
Dokument med ja/nej-spørgsmål til udfyldelse af projektleder og sendes til:
Kontraktenheden, persondata@adm.aau.dk med emnet ”Konsekvensanalyse”
Backupscreening ved forskning: Anmeldelse af forskningsprojekt

2) Konkret vurdering af, om der skal laves en konsekvensanalyse
Foretages af Kontraktenhedens persondatateam.
Projektlederen orienteres om udfaldet af den konkrete vurdering og det videre forløb.

3) Udførelse af konsekvensanalyse
Taskforce (Kontraktenheden og ITS) sikrer gennemgang med spørgsmål til projektets håndtering af data, valgte systemer og iværksatte sikkerhedsforanstaltninger, afklaring af mulige konsekvenser for de registrerede ved eventuelle sikkerhedsbrud og risikovurdering. Projektledere og eventuelle andre relevante nøglepersoner med viden om og ansvar for databehandlingen deltager i gennemgang mv.

4) Håndtering af resultatet
Taskforce assisterer ved og rådgiver om håndteringen af resultatet.
Mulige resultater og håndtering af disse:

• Høj og middel risici -> nedbringelse af risiciene -> Projektleders nærmeste leder og CISO kan blive inddraget her
• Lav risiko: Konsekvensanalysen afsluttes og rapport journaliseres som dokumentation for vurdering
• Middel risiko, som ikke kan nedbringes yderligere: Nærmeste leder kan acceptere residualrisikoen og DPO giver udtalelse (rapport journaliseres som dokumentation)
• Høj risiko, der ikke kan nedbringes ved passende sikkerhedsforanstaltninger: DPO giver udtalelse og der foretages høring af Datatilsynet (taskforce er ansvarlig for høringen. Videre håndtering afhænger af Datatilsynets svar – taskforcen er tovholder. Datatilsynet har svarfrist på 8 uger (14 uger ved særligt komplekse sager)).

AAU udarbejder risikovurderinger på flere områder: Ny software, nye systemer etc. 

Risikovurderingen starter med en henvendelse til enten ciso eller Kontraktenheden.

Projektleder

• Ansvar for at screene eget projekt (ved hjælp af screeningsdokumentet) og tage kontakt til Kontraktenhedens persondatateam (så tidligt i processen som muligt af hensyn til høringsfristerne)
• Bidrage til gennemførelsen af konsekvensanalysen med viden om projektet og planer for databehandlingen

Taskforce

• Procesansvarlig: Ansvarlig for gennemførelsen af konsekvensanalysen og processen for håndtering af resultatet
• Journaliserer rapporten som dokumentation

Projektleders nærmeste leder

• Økonomisk ansvar i tilfælde af, at en høj risiko skal nedbringes
• Kan godkende residualrisiko

Informationssikkerhedschef

• Ansvarlig for dele af risikovurderingen fsva. informationssikkerhed
• Kan godkende residualrisiko
• Underskrift ved indsendelse til Datatilsynet

Databeskyttelsesrådgiver (DPO)

• Rådgiver efter behov
• Skal tilkendegive at have set konsekvensanalyserapporten
• Skal afgive udtalelse ved accept af residualrisikoen og ved høring af Datatilsynet

Screeningsværktøj

Kort introduktion til værktøjet

Screeningsværktøjet består af Ja/Nej-spørgsmål med vejledning og mulighed for at uddybe ved ja

Screeningsværktøjet består af to dele:

1. Fire spørgsmål: Hvis der kan svares ja ved ét af spørgsmålene, skal Kontraktenhedens persondatateam kontaktes og skemaet sendes med
2. 13 spørgsmål: Hvis der kan svares ja ved to eller flere af spørgsmålene skal Kontraktenhedens persondatateam kontaktes og skemaet sendes med

Ved tvivl om ja eller nej: Svar ja og uddyb tvivlen under ”hvis ja, uddyb:” og send til Kontraktenhedens persondatateam, som foretager den endelige vurdering.

Hvornår skal screeningsdokumentet bringes i anvendelse?

• Ved nye projekter, uanset om det er et administrativt, forsknings- eller IT-projekt
• Så tidligt i processen som muligt
• Med lidt erfaring vil dokumentet skulle tages frem når behandling af data vedrører:
  • Følsomme, lokations, biometriske og genestiske oplysninger
  • Meget stort omfang (udsnit af befolkningsgruppe eller regionalt niveau)
  • Sårbar gruppe af registrerede
  • Overvågning af offentligt tilgængeligt område
  • Profilering/automatisk beslutningstagning
  • Direkte effekt på fysiske personers helbred eller sikkerhed
  • Helt ny teknologi eller ny brug af teknologien
  • Matching af datasæt til andet formål
• Konsekvensanalyser er nyt, hvilket betyder, at erfaringsgrundlaget for hvornår, de skal laves, opbygges løbende.