Først og fremmest er det vigtigt at præcisere selve navnene. Tærskel- og konsekvensanalyse er begge værktøjer, der bruges til at evaluere og styre potentielle risici forbundet med databehandlingsaktiviteter. Deres fokusområder, og de stadier, hvor de kommer i spil, er dog forskellige.
Helt simpelt fungerer tærskelanalysen som en indledende screening, mens konsekvensanalysen er en mere grundig risikovurdering, der bliver nødvendig, hvis behandlingsaktiviteten er over ”tærsklen” for høj risiko – heraf navnet.
Tærskelanalyse: Beskyttelse af privatlivets fred fra starten
- Udføres på det tidlige stadie af et projekt eller ved implementering af nyt system.
- Fokuserer på at identificere og afbøde potentielle privatlivsrisici forbundet med databehandling.
- Er ikke obligatorisk at lave, men er en proaktiv tilgang til at sikre overholdelse af regler.
Forestil dig et scenario, hvor en virksomhed planlægger at lancere et nyt CRM-system (customer relationship management). Inden systemet går live gennemføres en tærskelsanalyse for at vurdere indvirkningen på menneskers privatliv. Dette involverer en evaluering af typen af de indsamlede data, formålet med databehandlingen og implementering af foranstaltninger til beskyttelse af individuelle privatlivsrettigheder.
Det Europæiske Databeskyttelsesråd (EDPB) har fastsat ni screeningsspørgsmål til at vurdere, om der foreligger en høj risiko og dermed skal foretages en konsekvensanalyse.
Konsekvensanalyse: Afbødning af risici ved databehandling med højrisiko
- Udføres, når databehandlingsaktiviteter udgør en høj risiko for individers rettigheder og frihed.
- Obligatorisk og en mere omfattende, dybdegående vurdering, der evaluerer specifikke risici forbundet med højrisiko databehandling.
- Involverer ikke kun projektinteressenter, men også databeskyttelsesansvarlig (DPO) og de registrerede.
Lad os give et eksempel for at illustrere behovet for en konsekvensanalyse. Antag, at en sundhedsorganisation planlægger at implementere et nyt system til behandling af genetiske data, der involverer følsomme oplysninger om patienters helbred. På grund af karakteren af denne behandlingsaktivitet, og den potentielle indvirkning på enkeltpersoner, er en konsekvensanalyse afgørende for at identificere, vurdere og afbøde risici.
Læs også: Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer
Kombiner ideerne
Det er afgørende, at privatlivsprofessionelle kommer hurtigt igang. Derfor kan det anbefales, at organisationer kombinerer de forskellige ideer bag tærskel- og konsekvensanalyse.
Ved at bruge konsekvensanalysens omfattende rammer og tærskelanalysens hurtighed kan organisationer rådgive om nye systemer og samtidig udføre en dybdegående analyse, når det er nødvendigt.
Som konklusion, kan man sige, at mens både tærskel- og konsekvensanalyse sigter mod at beskytte personlige data, opererer de på forskellige stadier af et projekt og tager højde for forskellige risikoniveauer (måske er det endda sjældent, at en egentlig konsekvensanalyse er nødvendig). Effektiv implementering af disse vurderinger er ikke kun et lovkrav – det er en forpligtelse til at sikre en mere tryg fremtid for mennesker i vores digitaliserede samfund.
Se hvordan Wired Relations kan støtte jer i arbejdet med konsekvensanalyser:
Book din demo her
DPIA-processen er afgørende, når din organisation overvejer et nyt system eller en ny proces. Vi har lavet en online Masterclass i at mestre det. Du lærer, hvordan du sætter din organisation op til processen, hvordan du samarbejder med din organisation, og hvordan du effektivt udfører de enkelte trin.
Tilmeld dig den online Masterclass på engelsk her:
Masterclass I - Tirsdag den 9. april: Diving into the steps to take
Masterclass II - Torsdag den 25. april: Securing buy-in and collaboration
