DPIA – DATA PROTECTION IMPACT ASSESSMENT

En Data Protection Impact Assessment (DPIA), eller konsekvensanalyse vedrørende databeskyttelse, er en kortlægning af databeskyttelsen ved behandling af persondata. Den kan betragtes som en bredere PIA – Privacy Impact Assessment, der forholder sig til flere områder.

Essentielt set består en DPIA af to ting: En risikoanalyse i forhold til behandling af persondata, og en handlingsplan i forhold til risikoanalysen. Tiltagene kan indføres som kontroller i it-organisationen. En DPIA er derfor relevant både for it-sikkerheden og overholdelse af persondatalovgivning.

I de kommende ændringer til persondataloven, som træder i kraft 25. maj 2018, vil der være lovkrav til visse virksomheder om at få udarbejdet en DPIA. Datatilsynet kommer med en endelig udmelding, men det ser ud til, at virksomheder i disse tilfælde skal udarbejde en DPIA, jf. artikel 35 i EU-forordningen, stk. 3:

  • Hvis der foretages systematisk og omfattende automatisk behandling af persondata
  • Hvis der foretages omfattende behandling af følsomme oplysninger
  • Hvis der foretages omfattende overvågning af offentligt tilgængelige områder

Vi vil gerne understrege, at en DPIA ikke er det samme som en vurdering af, om virksomheden overholder persondataloven – som en revisorerklæring eksempelvis gør. DPIA’ens formål er at give virksomheden et overblik over, hvordan persondata behandles.

Dog vil DPIA-processen lette arbejdet op mod en vurdering af, om virksomheden overholder persondataloven, da virksomheden opnår et overblik over, hvordan personoplysninger behandles – og hvordan det foregår i forhold til lovforskrifter.

Fordele ved at lave en Data Protection Impact Assessment:

  • Bedre risikostyring ift. behandling af persondata
  • Mindsker sandsynligheden for datalækager
  • Signalværdi: Eksistensen af en DPIA sender et signal om tryghed
  • Lettere at sikre compliance med lovgivning
  • Giver mulighed for at tekniske løsninger, der beskytter privacy, designes ind i udviklingen af it-systemer (Privacy by Design), i stedet for at blive tilføjet senere – hvilket kan være kostbart og tidskrævende
  • Bedre overblik i tilfælde af et sikkerhedsbrud

Det er en god idé at udarbejde en Data Protection Impact Assessment fx ved etablering af eller væsentlige ændringer til teknologier, som behandler personoplysninger. Det vil typisk være databaser og systemer, som indeholder personoplysninger; fx navn, adresse, cpr-numre mv. Men andre teknologier som fx RFID kan også indeholde personhenførbare data.

I DPIA indgår også en dataflowsanalyse, således at man får kortlagt datastrømmene i virksomheden. Der opnås dermed et overblik over, hvad præcist der sker med de persondata, der kommer ind i virksomheden; hvordan oplysningerne behandles, og hvem der har adgang til data.

Dataansvarlig er ansvarlig for, at der udføres en DPIA, men databehandler kan godt udføre DPIA’en på vegne af dataansvarlig. Hvis I har en DPO, er det relevant, at vedkommende foretager DPIA’en.

DPIA kan også være et forstadie til en revisorerklæring om overholdelse af persondataloven (ISAE 3000), eller en generel revisorerklæring om it-organisationen (ISAE 3402).

Som it-revisorer med særligt fokus på persondatalovgivning kan vi rådgive jer omkring processen med udarbejdelse af en Data Protection Impact Assessment.