2. Analyse

Når du har kortlagt virksomhedens data er næste skridt en analyse.

Når virksomhedens data er kortlagt, så ved du:

  • Hvilke data I har
  • Hvor de behandles og af hvem
  • Samt med hvilket formål og grundlag

Næste trin er at foretage en analyse af virksomhedens nuværende behandling af persondata – og hvad virksomheden skal gøre for at overholde reglerne.

Den dataansvarlige skal med andre ord finde ud af, hvor der måtte være ”sprækker” eller ”huller” i jeres databehandling og gøre noget ved disse. Det kaldes også en GAP-analyse (nogle kalder den også for en compliance-analyse).

Hvordan kommer vi i gang med en GAP-analyse?

For at foretage en GAP-analyse skal du starte med at kaste et blik på den kortlægning, der blev udfyldt i 1. Kortlægning.

Her skal du kigge på, om virksomhedens formål og grundlag til at behandle persondata lever op til persondataforordningen. Det er tilfældet, hvis følgende er opfyldt:

  • Den registrerede har givet samtykke hertil til et eller flere specifikke formål. Klik her for at læse mere om samtykke.
  • Behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, som den registrerede er part i.
  • Behandlingen er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.


En risikovurdering - trin for trin

Som en del af GAP-analysen skal I også foretage en risikovurdering. Den har til formål at vurdere, om I skal foretage ændringer i forhold til den måde, som I behandler data på i dag. Er behandlingen sikker, eller kan andre få uretmæssig adgang til oplysningerne?

I givet fald skal I foretage ændringer i systemer og rutiner.

Når du har foretaget en risikovurdering, skulle du gerne have en idé om, hvorvidt sikkerheden er tilstrækkelig - eller om I er nødt til at lave en handlingsplan, fordi der skal implementeres yderligere sikkerhedsforanstaltninger (klik her for at læse mere om handlingsplan).


  1. Først skal du tage udgangspunkt i de forskellige datakategorier, der behandles. 

    Datakategorier er de forskellige punkter, der blev behandlet i jeres kortlægning af data (se punkt 2-4). Hvis I alene behandler almindelige oplysninger som navn, adresse, telefonnummer, e-mailadresse, vil risikoen som udgangspunkt være lavere, end hvis man behandler oplysninger af særlig kategori som eks. helbredsoplysninger.

  2. Derefter skal du kigge på mængden af oplysninger og sammenhængen, da de også har også indflydelse på risikoen. 

    Hvis I er en stor virksomhed med mange ansatte, så vil der naturligt være en større strøm af data – og derfor er der også større risiko forbundet med håndtering af data, end hvis man for eksempel er en mindre virksomhed med få ansatte. 

  3. Dernæst skal du vurdere, sandsynligheden for at jeres data tilintetgøres, forvanskes, ændres, stjæles eller gøres utilgængelige.

  4. Derefter skal du overveje, om der er risiko for fysisk, materiel eller moralsk skade. 

    Fysisk skade er hvis der f.eks. er mulighed for, at personer kan miste eller ændre personhenførbare oplysninger, som eksempelvis medicinske oplysninger. 

    Materiel skade kan opstå, hvis jeres virksomhed mister betalingskortsoplysninger eller hvis data, der ligger til grund for en økonomisk vurdering, ikke er korrekte. 

    Moralsk skade
    er situationer, hvor oplysningerne kan skade den registreredes omdømme, skabe ringeagt, eller at der kan opstå mistillid hos andre. Det kan f.eks. være oplysninger om en persons politiske holdning.

  5. Afslutningsvis skal du i din risikovurdering inddrage historik eller statistiske oplysninger om evt. tidligere sikkerhedsbrud. 

    Hvis jeres virksomhed ikke har været udsat for sikkerhedsbrud, så skal du derimod vurdere, hvor stor risikoen er for, at det sker. Har du sikret dig med firewall og antivirus-programmer, er risikoen eksempelvis lav. 


Hvis du i din risikovurdering opdager, at der er steder i jeres behandling af data, der ikke lever op til punkterne øverst, så skal behandlingen ændres og dokumenteres.

Hvis du er meget i tvivl, så anbefaler TEKNIQ, at du besøger PrivacyKompasset, som er udarbejdet af Datatilsynet og Erhvervsstyrelsen.

Ved at besvare 23 spørgsmål fra Datatilsynet og Erhvervsstyrelsen får den dataansvarlige et godt overblik over, om man på nuværende tidspunkt behandler data i overensstemmelser med reglerne, eller om det er nødvendigt at gennemføre yderligere tiltag.

NÆSTE SKRIDT

Når du har foretaget en analyse af virksomhedens nuværende behandling af persondata – og hvad virksomheden skal gøre for at overholde reglerne, så er næste skridt at udarbejde en handlingsplan. Klik her for at læse mere om det.




Senest opdateret 23-08-2019


Persondata - FAQ
Kim Koch

Kim Koch

Konsulent og advokat

kko@tekniq.dk

7741 1592

Preben Meinecke-Søes

Preben Meinecke-Søes

Advokat(L)
og mediator

7741 1567

TEKNIQ Arbejdsgiverne er en organisation med klart fokus på teknik-og installationsbranchen samt industri. Som medlem får du en lang række fordele, der er tilpasset netop dine behov.