En konsekvensanalyse vedrørende databeskyttelse er en proces, der har til formål at

• beskrive behandlingen af personoplysninger,
• vurdere behandlingens nødvendighed og proportionalitet og
• bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører.

Vurdering af risici er også en del af kravene til behandlingssikkerhed generelt, men konsekvensanalysen går et skridt videre, ved at inkludere en proces, der blandt andet kan omfatte høring hos Datatilsynet og indhentning af de registreredes synspunkter vedrørende den planlagte behandling. Det er endvidere en proces, hvor der stilles specifikke krav til dokumentation.

Til gengæld er det kun i visse situationer, at den dataansvarlige skal lave en konsekvensanalyse. Der er databehandlinger, hvor det navnligt er påkrævet at udføre en konsekvensanalyse. Ved andre behandlinger beror det på en konkret vurdering, hvorvidt en konsekvensanalyse er påkrævet. Det er i første omgang den dataansvarlige selv, der skal foretage denne vurdering.

Som dataansvarlig har du pligt til at foretage en konsekvensanalyse, når der sandsynligvis vil være en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Herunder skal du, hvis det er relevant, høre de registreredes eller deres repræsentanters synspunkter vedrørende din planlagte behandling af deres personoplysninger.

Pligten til gennemføre en konsekvensanalyse, når en sådan er påkrævet, er en del af det ansvar, du har som dataansvarlig. Det angår gennemførsel af passende tekniske og organisatoriske foranstaltninger for at du kan sikre og for at du kan være i stand til at påvise, at din behandling er i overensstemmelse med databeskyttelsesforordningen.

Endvidere skal man som dataansvarlig foretage en forudgående høring af Datatilsynet, hvis en konsekvensanalyse viser, at en behandling, selv efter eventuelt indførte foranstaltninger, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder.

Som databehandler har du pligt til at hjælpe den dataansvarlige med at udføre konsekvensanalysen.

• Datatilsynets liste over behandlinger, der altid er underlagt kravet om en konsekvensanalyse
• Datatilsynets liste over behandlingsaktiviteter, der er underlagt kravet om forudgående høring af tilsynet efter retshåndhævelses\u0002lovens § 26
• Lovgivning
• Konsekvensanalyse
• Artikel-29-gruppens retningslinjer for konsekvensanalyse vedrørende databeskyttelse

Der findes internationale standarder, som dækker samme emne. Dog kan du ikke antage, at en efterlevelse af disse standarder sikrer efterlevelse af databeskyttelsesforordningen. Men standarder kan være en hjælp til at komme rundt om alle de vigtige elementer i en konsekvensanalyse, og de kan dermed mindske risikoen for at du laver en mangelfuld konsekvensanalyse.

Eksempel på standard:

• DS/ISO/IEC 29134