Virksomheder og myndigheder, som skal foretage en konsekvensanalyse efter databeskyttelsesreglerne, får i dag et nyt værktøj til deres daglige arbejde. To skabeloner til gennemførelse af konsekvensanalyser er i dag blevet offentliggjort på Datatilsynets hjemmeside. Skabelonerne skal bidrage til, at virksomheder og myndigheder får gennemført tilstrækkelige konsekvensanalyser rigtigt og til tiden.
Hvad er en konsekvensanalyse, og hvornår er den relevant?
Konsekvensanalysen er et krav efter databeskyttelsesreglerne. Analysen er et værktøj, som gør det muligt at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde. Analysen skal gennemføres, hvis en behandlingsaktivitet sandsynligvis vil indebære høje risici for de registrerede.
Nye skabeloner til gennemførelse af konsekvensanalyser
Datatilsynet har som led i tilsynets arbejde konstateret, at virksomheder og myndigheder i mange tilfælde har udfordringer med at foretage konsekvensanalyser.
Datatilsynets kortlægning af brugen af kunstig intelligens i den offentlige sektor fra oktober 2023 viste f.eks., at myndighederne generelt har udfordringer med at foretage konsekvensanalyser, herunder at foretage dem rettidigt, når de udvikler og anvender kunstig intelligens. Også flere af tilsynets afgørelser vedrører manglende eller utilstrækkelige konsekvensanalyser.
Det er på den baggrund, at Datatilsynet i dag offentliggør to nye skabeloner til gennemførelse af konsekvensanalyser. Den ene skabelon er af mere generisk karakter, og den anden skabelon vedrører specifikt konsekvensanalyse ved udvikling og drift af AI-løsninger.
Formålet med skabelonerne er at hjælpe virksomheder og myndigheder i deres arbejde med at gennemføre konsekvensanalyser. Skabelonen for AI indeholder bl.a. konkrete eksempler på risici og på foranstaltninger, som kan være relevante i arbejdet med at nedbringe disse risici.
Risiko- og foranstaltningskataloget er dog ikke udtømmende, og de dataansvarlige skal vurdere, om der kan være yderligere risici der er relevante. Det er i sidste ende de dataansvarliges ansvar at sikre sig, at gennemførte konsekvensanalyser lever op til databeskyttelsesreglerne.
Skabelonen for AI er udarbejdet med inspiration fra den britiske datatilsynsmyndigheds, ICO, AI and Data Protection Risk Tool Kit. Denne – og ICO’s arbejde med kunstig intelligens i øvrigt – kan findes her: Artificial intelligence | ICO.
Spørgsmål eller input?
Hvis du har spørgsmål eller forbedringsforslag til skabelonerne, er du velkommen til at skrive til os på dt@datatilsynet.dk.