AAU logo

It Services

Konsekvensanalyse

Konsekvensanalyse

Formålet med databeskyttelsesforordningen og databeskyttelsesloven er, at AAU i behandlingen af personoplysninger skal undersøge og dokumentere, at vi passer tilstrækkeligt på de personlysninger, vi anvender i en konkret behandling.

I nogle tilfælde kan der være en sandsynlighed for, at en påtænkt databehandling og håndtering af personoplysninger indebærer en høj risiko for at kunne skade de personer, oplysningerne vedrører. I disse tilfælde har AAU pligt til at undersøge denne mulige høje risiko, og - hvis risikoen viser sig at være høj - lave tiltag for at nedsætte den. Denne undersøgelse betegnes som en konsekvensanalyse.

Hvis AAU ikke kan mindske risikoen væsentligt, må en behandling af personoplysninger først påbegyndes efter en godkendelse fra Datatilsynet.

  • +

    Hvad er en konsekvensanalyse?

    En konsekvensanalyse er en analyse af påtænkte databehandlingsaktiviteters konsekvenser for de registrerede personer, hvis oplysninger behandles. I analysen vil følgende blive undersøgt:

    • Om det er sandsynligt, at der er høj risiko for de registreredes rettigheder og frihedsrettigheder ved en konkret behandling af deres personoplysninger – altså om behandlingen har en høj risiko for at kunne skade de registrerede
    • Hvad konsekvenserne for de registrerede er ved den konkrete behandling af personoplysninger
    • Hvilke organisatoriske og tekniske sikkerhedsforanstaltninger vi kan gennemføre, så risikoen og konsekvenserne sænkes til et lavt niveau

    På AAU har vi besluttet, at konsekvensanalyser er en proces på fire trin. Det er dog sjældent, at vi skal igennem alle fire trin:

    1. Screening, hvor det afklares, om en ønsket behandling af personoplysninger har en sådan karakter, at det kan indebære høj risiko for de registrerede, at deres personoplysninger behandles
    2. Konkret vurdering – på baggrund af screeningen – af, om der skal laves en konsekvensanalyse
    3. Udførelse af konsekvensanalyse
    4. Håndtering af resultatet af konsekvensanalysen
  • +

    Hvem gør hvad, hvornår?

    SYSTEMEJER/DATAEJER

    HVEM

    System- og/eller dataejer er de medarbejdere på AAU, som er ansvarlige for at iværksætte et nyt administrativt projekt eller proces, et forskningsprojekt, et nyt IT-system eller lignende proces, hvor der vil ske en behandling af personoplysninger. 

    HVAD

    Når du starter et nyt forskningsprojekt, et nyt administrativt projekt eller en ny proces, hvor du behandler personoplysninger på en ny måde eller skal udvikle et nyt system, skal du først finde ud af, om du behandler personoplysninger. Med begrebet behandling forstås i databeskyttelsesforordningens forstand enhver håndtering af personoplysninger, fx indsamling, registrering, ændring, samkøring, sletning etc. Se her for yderligere information om, hvad personoplysninger er.

    Hvis du behandler personoplysninger, skal du udfylde screeningsværktøjet, som er grundlag for at vurdere, om der skal laves en konsekvensanalyse. Screeningsværktøjet kan du finde her.

    System- og/eller dataejer har til opgave at:

    • undersøge, om den påtænkte behandling allerede er beskrevet i enhedens Artikel 30-fortegnelse
    • udfylde screeningsværktøjet, der består af tretten ja-/nej-spørgsmål, hvis behandlingen ikke er beskrevet i enhedens Artikel 30-fortegnelse
    • indsende det udfyldte screeningsværktøj til postkassen konsekvensanalyse@aau.dk
    • bidrage til en eventuel analyse med sin viden om det nye projekt/proces/system.

    HVORNÅR

    Første skridt, screeningsværktøjet, skal du bruge så tidligt som muligt i din arbejdsproces. Det udfyldte screeningsværktøj sendes til konsekvensanalyse@aau.dk.


    KONSEKVENSANALYSE-TASKFORCE


    HVEM

    AAU har etableret en konsekvensanalyse-taskforce med IT-tekniske/informationssikkerhedsmæssige, juridiske og organisatoriske/forretningsmæssige kompetencer for at sikre en tilstrækkelig kompetencesammensætning til at gennemføre og styre processen, at lette den decentrale opgave i den enkelte sag samt at oparbejde viden og erfaring med konsekvensanalyser på AAU.

    HVAD

    Taskforcen har til opgave at:

    • på grundlag af screeningsværkøjet konkret vurdere, om der skal laves en konsekvensanalyse
    • gennemføre selve konsekvensanalysen og styre arbejdsprocessen
    • håndtere resultatet af konsekvensanalysen, herunder foreslå konkrete organisatoriske og tekniske sikkerhedsforanstaltninger til at nedbringe høje risici
    • dokumentere og journalisere undersøgelsesarbejdet.

     
    HVORNÅR

    Når screeningen af et projekt, proces mv. er modtaget fra systemejer/dataejer.

    SYSTEM- OG/ELLER DATAEJERS LEDER, JF. DELEGATIONSINSTRUKSEN


    HVEM

    System- og/eller dataejers leder, jf. rektors delegationsinstruks.

    HVAD

    Hvis konklusionen af konsekvensanalysen kræver yderligere organisatoriske og tekniske foranstaltninger for at nedbringe risikoen for de registrerede, har ledelsen, jf. delegationsinstruksen, til opgave at:

    • tage det økonomiske ansvar for disse foranstaltninger eller
    • tage ansvar for den tilbageværende risiko, hvis man vælger ikke at gennemføre yderligere nedbringende foranstaltninger, sammen med informationssikkerhedschefen og efter udtalelse fra databeskyttelsesrådgiveren.

     
    HVORNÅR

    System- og/eller dataejers leder, jf. delegationsinstruksen, kontaktes, hvis det bliver nødvendigt med yderligere organisatoriske og tekniske foranstaltninger for at nedbringe risikoen for de registrerede.

     

    AAU’s INFORMATIONSSIKKERHEDSCHEF

    HVAD

    CISO er ansvarlig for dele af konsekvensanalysen fsva. informationssikkerheden. System- og/eller dataejers leder, jf. delegationsinstruksen, kan i samråd med og efter udtalelse fra Databeskyttelsesrådgiveren, godkende en tilbageværende middel risiko, som ikke kan nedbringes yderligere. CISO skal desuden underskrive konsekvensanalyserapporten, hvis den skal indsendes til Datatilsynet.

    HVORNÅR

    Konsekvensanalyse Taskforcen inddrager CISO i processen, hvis risikoen ikke kan nedbringes efter at have indført yderligere beskyttelsesforanstaltninger, eller hvis det er nødvendigt at kontakte Datatilsynet.

    AAU’s DATABESKYTTELSESRÅDGIVER (DPO)

    HVAD

    DPO’en rådgiver efter behov. DPO’en skal tilkendegive at have set den endelige konsekvensanalyserapport. DPO’en skal derudover give udtalelse ved accept af en middel risiko og hvis det er nødvendigt at kontakte Datatilsynet.

    HVORNÅR

    Konsekvensanalyse Taskforcen inddrager DPO’en i processen efter behov, og hvis risikoen ikke kan nedbringes efter at have indført yderligere beskyttelsesforanstaltninger, eller hvis det er nødvendigt at kontakte Datatilsynet.

     

  • +

    Screeningsværktøjet

  • +

    Printvenlig vejledning