Nye skabeloner til gennemførelse af konsekvensanalyser

Dato: 22-05-2024

Datatilsynet offentliggør i dag to skabeloner til gennemførelse af konsekvensanalyser, som virksomheder og myndigheder kan benytte sig af. Den ene skabelon vedrører AI-løsninger, og den anden er af mere generisk karakter.

Virksomheder og myndigheder, som skal foretage en konsekvensanalyse efter databeskyttelsesreglerne, får i dag et nyt værktøj til deres daglige arbejde. To skabeloner til gennemførelse af konsekvensanalyser er i dag blevet offentliggjort på Datatilsynets hjemmeside. Skabelonerne skal bidrage til, at virksomheder og myndigheder får gennemført tilstrækkelige konsekvensanalyser rigtigt og til tiden.

Hvad er en konsekvensanalyse, og hvornår er den relevant?

Konsekvensanalysen er et krav efter databeskyttelsesreglerne. Analysen er et værktøj, som gør det muligt at arbejde med de risici, som en behandlingsaktivitet kan indebære, på en systematisk måde. Analysen skal gennemføres, hvis en behandlingsaktivitet sandsynligvis vil indebære høje risici for de registrerede.

Nye skabeloner til gennemførelse af konsekvensanalyser

Datatilsynet har som led i tilsynets arbejde konstateret, at virksomheder og myndigheder i mange tilfælde har udfordringer med at foretage konsekvensanalyser.

Datatilsynets kortlægning af brugen af kunstig intelligens i den offentlige sektor fra oktober 2023 viste f.eks., at myndighederne generelt har udfordringer med at foretage konsekvensanalyser, herunder at foretage dem rettidigt, når de udvikler og anvender kunstig intelligens. Også flere af tilsynets afgørelser vedrører manglende eller utilstrækkelige konsekvensanalyser.

Det er på den baggrund, at Datatilsynet i dag offentliggør to nye skabeloner til gennemførelse af konsekvensanalyser. Den ene skabelon er af mere generisk karakter, og den anden skabelon vedrører specifikt konsekvensanalyse ved udvikling og drift af AI-løsninger.

Formålet med skabelonerne er at hjælpe virksomheder og myndigheder i deres arbejde med at gennemføre konsekvensanalyser. Skabelonen for AI indeholder bl.a. konkrete eksempler på risici og på foranstaltninger, som kan være relevante i arbejdet med at nedbringe disse risici.

Risiko- og foranstaltningskataloget er dog ikke udtømmende, og de dataansvarlige skal vurdere, om der kan være yderligere risici der er relevante. Det er i sidste ende de dataansvarliges ansvar at sikre sig, at gennemførte konsekvensanalyser lever op til databeskyttelsesreglerne.

Skabelonen for AI er udarbejdet med inspiration fra den britiske datatilsynsmyndigheds, ICO, AI and Data Protection Risk Tool Kit. Denne – og ICO’s arbejde med kunstig intelligens i øvrigt – kan findes her: Artificial intelligence | ICO.

Spørgsmål eller input?

Hvis du har spørgsmål eller forbedringsforslag til skabelonerne, er du velkommen til at skrive til os på dt@datatilsynet.dk.

Hent skabelonerne her

De to skabeloner er tilgængelige i Excel-format og kan hentes her: