Risikovurdering og konsekvensanalyse
Indholdet er opdateret i januar 2022. Vær opmærksom på, at vi løbende opdaterer disse sider.
Behandler du personoplysninger til din forskning? Her får du hjælp til at få styr på:
-
Hvilke risici som behandlingen medfører for de registreredes rettigheder og frihedsrettigheder.
-
Hvordan du kan eliminere eller mitigere (minimere) risiciene.
-
Om det er nødvendigt at udarbejde en konsekvensanalyse (når risikoen er høj).
-
At risikovurderingen og evt. konsekvensanalysen er ajourført og retvisende.
Hvad er en risikovurdering?
Databeskyttelsesrettens tilgang til behandling af personoplysninger er risikobaseret. Risikovurderingen er en objektiv vurdering af, hvilke risici den påtænkte behandling af personoplysninger kan have for den registreredes rettigheder og frihedsrettigheder. Ved en risikovurdering skal du således vurdere sandsynligheden for, at en hændelse indtræffer, herunder hvilken konsekvens hændelsen vil have for den person, hvis oplysninger du behandler (den registrerede).
Hvad er forskellen på en databeskyttelsesretlig risikovurdering og andre risikovurderinger?
En databeskyttelsesretlig risikovurdering skal angå de risici, som de registrerede eksponeres for ved behandling af deres personoplysninger. Den skal således ikke angå den dataansvarliges risiko for f.eks. sanktioner, tab af omdømme eller lignende.
Den dataansvarlige skal sætte sig i den registreredes sted og overveje, hvilke risici, som vedkommende udsættes for ved de(n) påtænkte behandlingsaktivitet(er), som den dataansvarlige vil udføre.
Hvornår skal der laves en skriftlig risikovurdering?
Forud for enhver behandling af personoplysninger skal der foretages en skriftlig risikovurdering, som skal udføres af den dataansvarlige eller af en databehandler på den dataansvarliges vegne. I sidstnævnte tilfælde skal den dataansvarlige foretage en risikovurdering af den behandling, som databehandleren skal foretage.
Hvem skal lave en skriftlig risikovurdering og hvorfor?
Som forsker ansat ved AU er du ansvarlig for, at AU overholder de databeskyttelsesretlige regler i dit forskningsprojekt. Da du eller din forskningsgruppe er dem, der er nærmest til at vide, hvordan behandlingen af personoplysninger skal foregå, er du/I nærmest til at vurdere, hvilke risici den registrerede vil blive eksponeret for ved behandlingen af vedkommendes personoplysninger.
Med andre ord skal du altså foretage en risikovurdering af den påtænkte behandling af personoplysninger, inden du begynder at behandle personoplysningerne. På den måde kan du bl.a. vurdere, om du skal foretage en konsekvensanalyse, og hvilke sikkerhedsforanstaltninger, som er nødvendige for at beskytte personoplysningerne, mens du behandler dem.
Du skal opbevare din skriftlige risikovurdering sammen med din øvrige projektdokumentation i hele den periode, du behandler personoplysninger. Vær opmærksom på, at du skal ajourføre risikovurderingen, hvis der sker ændringer.
Hvordan laver jeg en skriftlig risikovurdering?
Der findes ingen formkrav til risikovurderingen, men den skal for at leve op til databeskyttelsesforordningens ansvarlighedsprincip være skriftlig (dokumenteret).
Risikovurderingen skal indeholde en vurdering af de risici, som den registrerede eksponeres for på følgende områder:
- Fortrolighed,
- integritet, og
- tilgængelighed
Der er mange måder at lave en risikovurdering på, men fælles for dem er, at risikovurderingen består af:
- identifikation af potentielle risici,
- vurdering af sandsynligheden for hændelsens indtræden, og
- vurdering af de konsekvenser, som det måtte have for den registrerede, hvis hændelsen faktisk indtrådte.
Skabelonen
I denne vejledning finder du en skabelon til at foretage en risikovurdering af den påtænkte behandling af personoplysninger i dit forskningsprojekt. Bemærk, at skabelonen ikke er egnet til store og komplekse forskningsprojekter, hvor der fx indgår et stort antal projektparter, eller til IT-systemer mv., da det vil kræve en mere udbygget skabelon.
Hvis du har behov for en udbygget skabelon, kan du kontakte kontakte Forskningsdatakontoret på dpo@au.dk.
Sandsynlighed
For at bruge skabelonen, skal du kende til den skala, som er indlagt for vurdering af sandsynlighed. I din vurdering af sandsynligheden for hændelsens indtræden, skal du anvende følgende kriterier:
Usandsynligt (1) | Hændelsen vil næsten aldrig indtræffe |
Mindre sandsynligt (2) | Hændelsen vil alene indtræffe under ganske særlige omstændigheder |
Sandsynligt (3) | Hændelsen vil i mange tilfælde kunne indtræffe |
Forventet (imminent) (4) | Hændelsen vil indtræffe |
Konsekvens
Når du skal vurdere konsekvensen af en hændelse, skal du ligge til grund, at hændelsen er indtruffet. Du skal herefter vurdere, hvilken indvirkning (konsekvens), det vil have for den registrerede.
Husk at du i vurderingen af konsekvensen altid skal tage antallet af registrerede/kategorien af registrerede, omfanget af personoplysningerne samt kategorien af personoplysninger med i dine betragtninger, og at konsekvensen skal vurderes ud fra det ”værst tænkelige scenarie” (worst case scenario).
Former for konsekvenser:
- Fysisk skade: Den person, hvis oplysninger behandles, påføres fysisk skade.
- Materiel skade: Fx tab i form af mistet omsætning.
- Immateriel skade: Fx skade på omdømme.
Graden af konsekvenser:
Ingen eller ubetydelige konsekvenser (1) | Ingen særlig påvirkning af den registrerede i forbindelse med hændelsen |
Generende konsekvenser (2) | Der er mangler, der er generende, men ikke i alvorlig grad |
Kritiske konsekvenser (3) | Behandlingen medfører kritiske konsekvenser for den, hvis oplysninger behandles, fx hvis almindelige personoplysninger videregives uautoriseret |
Uacceptable konsekvenser (4) | Konsekvensen af behandlingerne er så store for den, hvis oplysninger behandles, at behandlingen ikke må udføres, m.m. der kan træffes foranstaltninger, der markant mindsker risikoen for skade. Der kan her være tale om uautoriseret videregivelse af følsomme personoplysninger |
Hvordan beregner jeg risikoen, og hvordan fortolker jeg resultatet af en risikovurdering?
Sandsynlighederne og konsekvenserne har hver især en værdi fra 1-4, hvoraf 1 er den laveste, og 4 er den højeste. Risikoen beregnes ved at gange sandsynligheden for, at hændelsens indtræffe med konsekvensen af hændelsens indtræffe.
Konsekvens | Ingen eller ubetydelige konsekvenser | Generende konsekvenser | Kritiske konsekvenser | Uacceptable konsekvenser |
Usandsynligt | 1 | 2 | 3 | 4 |
Mindre sandsynligt | 2 | 4 | 6 | 8 |
Sandsynligt | 3 | 6 | 9 | 12 |
Forventet (Imminent) | 4 | 8 | 12 | 16 |
Når du ganger værdierne får du et tal, som du kan se af ovenstående matrice. Tallet viser, om den risiko, som den registrerede eksponeres for, betragtes som lav = grøn, mellem = gul eller rød = høj. Resultatet skal du bruge til at vurdere, om der skal ske mitigering (nedbringelse af risikoen), hvis muligt eliminering af risikoen, eller om risikoen må accepteres.
Desuden skal du være opmærksom på, at der som hovedregel skal laves en konsekvensanalyse, hvis risikoen er høj. Hvis der skal udarbejdes en konsekvensanalyse, skal du kontakte AU’s databeskyttelsesrådgiver på dpo@au.dk, som kan vejlede dig.
Datatilsynet har fastlagt nogle tilfælde, hvor behandlingen altid vil medføre en høj risiko for den registrerede. Tilfældene fremgår af skabelonens del 7.
Hvad er en konsekvensanalyse, og hvad er formålet?
Konsekvensanalysen er en skriftlig analyse af, hvilke konsekvenser dine planlagte behandlingsaktiviteter har for den registreredes rettigheder og frihedsrettigheder. Med andre ord bruger du analysen til at kortlægge konsekvensen af din behandling af personoplysninger for de personer, hvis oplysninger du skal behandle.
Formålet med konsekvensanalysen er at give dig et overblik over og mulighed for at minimere eller helt at eliminere de risici, der måtte være for de personer, hvis oplysninger du behandler.
Hvorvidt du skal udarbejde en konsekvensanalyse afhænger af, om der er en høj risiko ved den påtænkte behandling af personoplysninger. Dette skal du først afdække i din risikovurdering (se ovenfor). Husk derfor, at du altid skal starte med at udarbejde en risikovurdering, da denne danner grundlag for – og er et væsentligt element i – konsekvensanalysen.
En konsekvensanalyse er en proces, der kan illustreres som følger:
Hvornår skal jeg udarbejde en konsekvensanalyse?
Der er flere tilfælde, hvor du er forpligtet til at udarbejde en konsekvensanalyse. Nedenfor finder du nogle vejledende spørgsmål, der kan hjælpe dig med at afdække, om der er behov for en konsekvensanalyse. Det er vigtigt, at du tager stilling til samtlige spørgsmål i alle tre skemaer.
Hvis du kan svare ja til spørgsmålet, skal du udarbejde en konsekvensanalyse:
| Spørgsmål | Svar: Ja | Svar: Nej |
| Viser min risikovurdering, at min behandling af personoplysninger vil medføre en høj risiko for de registreredes rettigheder og frihedsrettigheder? | ☐ Ja | ☐ Nej |
Selvom du har svaret nej til spørgsmålet ovenfor, er det vigtigt, at du besvarer spørgsmålene nedenfor. De kan i nogle tilfælde vise, at det alligevel er nødvendigt at udarbejde en konsekvensanalyse. Hvis du kan svare ja til min. to af spørgsmålene skal du udarbejde en konsekvensanalyse:
Spørgsmålene er baseret på den liste, som hver tilsynsmyndighed i EU skal udarbejde. Du kan finde Datatilsynets (den danske tilsynsmyndighed) liste her.
| Spørgsmål | Svar: Ja | Svar: Nej |
Behandler du biometriske data (f.eks. fingeraftryk, iris-scanninger mv.) med det formål entydigt at identificere en fysisk person? | ☐ Ja | ☐ Nej |
Behandler du genetiske data (f.eks. DNA, RNA mv.)? | ☐ Ja | ☐ Nej |
Behandler du lokationsdata (elektroniske oplysninger om en lokalitet)? | ☐ Ja | ☐ Nej |
Bruger du nye teknologier, når du behandler personoplysninger (f.eks. AI)? | ☐ Ja | ☐ Nej |
Behandler du personoplysninger med henblik på afgørelser om en fysisk persons rettigheder til et produkt, en service, en potentiel mulighed eller begunstigelse? | ☐ Ja | ☐ Nej |
Behandler du personoplysninger på en sådan måde, der profilerer en fysisk person i stor skala? | ☐ Ja | ☐ Nej |
Behandler du personoplysninger om sårbare personer eller hvor der er tale om behandling af følsomme oplysninger (særlige kategorier) og hvor, der benyttes profilering eller andre former for automatiserede afgørelser? | ☐ Ja | ☐ Nej |
Behandler du personoplysninger, hvor et brud på persondatasikkerheden kan have en direkte effekt på en persons fysiske helbred eller på sikkerheden for en fysisk person? | ☐ Ja | ☐ Nej |
Behandler du følsomme personoplysninger eller oplysninger om strafbare forhold i et stort omfang? | ☐ Ja | ☐ Nej |
Overvåger du systematisk og i et stort omfang den registrerede eller et offentligt tilgængeligt område? | ☐ Ja | ☐ Nej |
Matcher eller kombinerer du datasæt, der har forskellige formål? | ☐ Ja | ☐ Nej |
Hvis du kan svare ja til ét af nedenstående spørgsmål, skal du ikke udarbejde en konsekvensanalyse:
| Spørgsmål | Svar: Ja | Svar: Nej |
| Har du eller andre på AU tidligere udarbejdet en konsekvensanalyse for den påtænkte form for behandling? | ☐ Ja | ☐ Nej |
| Har du påbegyndt behandlingen af personoplysninger inden den 25. maj 2018, og der er ikke sket ændringer i forhold til den behandling, der blev anmeldt til Datatilsynet eller til AU's fællesanmeldelse? | ☐ Ja | ☐ Nej |
Hvad skal en konsekvensanalyse indeholde?
Konsekvensanalysen skal som minimum indeholde følgende:
- En systematisk beskrivelse af de behandlingsaktiviteter, der er genstand for konsekvensanalysen – med andre ord; hvordan vil du behandle oplysningerne?
- En vurdering af behandlingsaktiviteternes nødvendighed og proportionalitet.
- En beskrivelse af risiciene ved den påtænkte behandling, herunder hvordan personoplysningerne forvaltes.
- En høring af interesserede parter.
Hvem skal lave konsekvensanalysen?
Det er dig som forsker, der skal udarbejde konsekvensanalysen, da det er dig, der kender projektet. Du skal være opmærksom på, at du først skal kontakte AU’s databeskyttelsesrådgiver (DPO), efter du har foretaget din risikovurdering, men inden du begynder at lave konsekvensanalysen. Databeskyttelsesrådgiveren vil herefter vejlede dig omkring, hvordan du udarbejder konsekvensanalysen.
