Risikovurdering og konsekvensanalyse

Her kan du finde information om, hvornår og hvordan du laver en risikovurdering. 


Hvad er en risikovurdering?

Databeskyttelsesrettens tilgang til behandling af personoplysninger er risikobaseret. Risikovurderingen er en objektiv vurdering af, hvilke risici den påtænkte behandling af personoplysninger kan have for den registreredes rettigheder og frihedsrettigheder. Ved en risikovurdering skal du således vurdere sandsynligheden for, at en hændelse indtræffer, herunder hvilken konsekvens hændelsen vil have for den person, hvis oplysninger du behandler (den registrerede).


Hvad er forskellen på en databeskyttelsesretlig risikovurdering og andre risikovurderinger?

En databeskyttelsesretlig risikovurdering skal angå de risici, som de registrerede eksponeres for ved behandling af deres personoplysninger. Den skal således ikke angå den dataansvarliges risiko for f.eks. sanktioner, tab af omdømme eller lignende.

Den dataansvarlige skal sætte sig i den registreredes sted og overveje, hvilke risici, som vedkommende udsættes for ved de(n) påtænkte behandlingsaktivitet(er), som den dataansvarlige vil udføre.

Hvornår skal der laves en skriftlig risikovurdering?

Forud for enhver behandling af personoplysninger skal der foretages en skriftlig risikovurdering, som skal udføres af den dataansvarlige eller af en databehandler på den dataansvarliges vegne. I sidstnævnte tilfælde skal den dataansvarlige foretage en risikovurdering af den behandling, som databehandleren skal foretage.

Hvem skal lave en skriftlig risikovurdering og hvorfor?

Som forsker ansat ved AU er du ansvarlig for, at AU overholder de databeskyttelsesretlige regler i dit forskningsprojekt. Da du eller din forskningsgruppe er dem, der er nærmest til at vide, hvordan behandlingen af personoplysninger skal foregå, er du/I nærmest til at vurdere, hvilke risici den registrerede vil blive eksponeret for ved behandlingen af vedkommendes personoplysninger.

Med andre ord skal du altså foretage en risikovurdering af den påtænkte behandling af personoplysninger, inden du begynder at behandle personoplysningerne. På den måde kan du bl.a. vurdere, om du skal foretage en konsekvensanalyse, og hvilke sikkerhedsforanstaltninger, som er nødvendige for at beskytte personoplysningerne, mens du behandler dem.

Hvordan laver jeg en skriftlig risikovurdering?

Der findes ingen formkrav til risikovurderingen, men den skal for at leve op til databeskyttelsesforordningens ansvarlighedsprincip være skriftlig (dokumenteret).

Risikovurderingen skal indeholde en vurdering af de risici, som den registrerede eksponeres for på følgende områder:

  • Fortrolighed,
  • integritet, og
  • tilgængelighed

Der er mange måder at lave en risikovurdering på, men fælles for dem er, at risikovurderingen består af:

  • identifikation af potentielle risici,
  • vurdering af sandsynligheden for hændelsens indtræden, og
  • vurdering af de konsekvenser, som det måtte have for den registrerede, hvis hændelsen faktisk indtrådte.

Skabelonen

I denne vejledning finder du en skabelon til at foretage en risikovurdering af den påtænkte behandling af personoplysninger i dit forskningsprojekt. Bemærk, at skabelonen ikke er egnet til store og komplekse forskningsprojekter, hvor der fx indgår et stort antal projektparter, eller til IT-systemer mv., da det vil kræve en mere udbygget skabelon.
Hvis du har behov for en udbygget skabelon, kan du kontakte kontakte Databeskyttelsesenheden på dpo@au.dk.


Sandsynlighed

For at bruge skabelonen, skal du kende til den skala, som er indlagt for vurdering af sandsynlighed. I din vurdering af sandsynligheden for hændelsens indtræden, skal du anvende følgende kriterier:

Usandsynligt (1)

Hændelsen vil næsten aldrig indtræffe

Mindre sandsynligt (2)

Hændelsen vil alene indtræffe under ganske særlige omstændigheder

Sandsynligt (3)

Hændelsen vil i mange tilfælde kunne indtræffe

Forventet (imminent) (4)

Hændelsen vil indtræffe


Konsekvens

Når du skal vurdere konsekvensen af en hændelse, skal du ligge til grund, at hændelsen er indtruffet. Du skal herefter vurdere, hvilken indvirkning (konsekvens), det vil have for den registrerede.

Husk at du i vurderingen af konsekvensen altid skal tage antallet af registrerede/kategorien af registrerede, omfanget af personoplysningerne samt kategorien af personoplysninger med i dine betragtninger, og at konsekvensen skal vurderes ud fra det ”værst tænkelige scenarie” (worst case scenario).

Former for konsekvenser:

  • Fysisk skade: Den person, hvis oplysninger behandles, påføres fysisk skade.
  • Materiel skade: Fx tab i form af mistet omsætning.
  • Immateriel skade: Fx skade på omdømme.

Graden af konsekvenser:

Ingen eller ubetydelige konsekvenser (1)

Ingen særlig påvirkning af den registrerede i forbindelse med hændelsen

Generende konsekvenser (2)

Der er mangler, der er generende, men ikke i alvorlig grad

Kritiske konsekvenser (3)

Behandlingen medfører kritiske konsekvenser for den, hvis oplysninger behandles, fx hvis almindelige personoplysninger videregives uautoriseret

Uacceptable konsekvenser (4)

Konsekvensen af behandlingerne er så store for den, hvis oplysninger behandles, at behandlingen ikke må udføres, m.m. der kan træffes foranstaltninger, der markant mindsker risikoen for skade. Der kan her være tale om uautoriseret videregivelse af følsomme personoplysninger


Hvordan beregner jeg risikoen, og hvordan fortolker jeg resultatet af en risikovurdering?

Sandsynlighederne og konsekvenserne har hver især en værdi fra 1-4, hvoraf 1 er den laveste, og 4 er den højeste. Risikoen beregnes ved at gange sandsynligheden for, at hændelsens indtræffe med konsekvensen af hændelsens indtræffe.

Konsekvens
          X
Sandsynlighed

Ingen eller ube­tydelige konse­kvenser

Gene­rende konse­kvenser

Kri­tiske konse­kvenser

Uaccep­table konse­kvenser

Usandsynligt

1

2

3

4

Mindre sandsynligt

2

4

6

8

Sandsynligt

3

6

9

12

Forventet (Imminent)

4

8

12

16

 


Når du ganger værdierne får du et tal, som du kan se af ovenstående matrice. Tallet viser, om den risiko, som den registrerede eksponeres for, betragtes som lav = grøn, mellem = gul eller rød = høj. Resultatet skal du bruge til at vurdere, om der skal ske mitigering (nedbringelse af risikoen), hvis muligt eliminering af risikoen, eller om risikoen må accepteres.

Desuden skal du være opmærksom på, at der som hovedregel skal laves en konsekvensanalyse, hvis risikoen er høj. Hvis der skal udarbejdes en konsekvensanalyse, skal du kontakte AU’s databeskyttelsesrådgiver på dpo@au.dk, som kan vejlede dig.

Datatilsynet har fastlagt nogle tilfælde, hvor behandlingen altid vil medføre en høj risiko for den registrerede. Tilfældene fremgår af skabelonens del 7.



Hvad er en konsekvensanalyse?

AU’s DPO kan hjælpe dig med vurdering af, om en konsekvensanalyse er nødvendig på baggrund af din risikovurdering. DPO’en bistår desuden med vejledning om konsekvensanalysen, der skal udføres af dig som forsker.   

MERE INFORMATION KOMMER.