En konsekvensanalyse vedrørende databeskyttelse (DPIA, Data Protection Impact Assessment) er en struktureret vurdering af de risici, en behandling af personoplysninger indebærer for de registreredes rettigheder — og af de foranstaltninger, der skal håndtere risiciene. Den er lovpligtig efter artikel 35 i databeskyttelsesforordningen (GDPR), når en type behandling “sandsynligvis vil indebære en høj risiko” for fysiske personer. En konsekvensanalyse skal som minimum indeholde en systematisk beskrivelse af behandlingen, en vurdering af nødvendighed og proportionalitet, en vurdering af risiciene og de påtænkte foranstaltninger til at imødegå dem. Den skal gennemføres inden behandlingen sættes i gang.
Denne guide gennemgår, hvornår en konsekvensanalyse er obligatorisk, Datatilsynets liste over behandlinger med høj risiko, de fire trin i selve analysen, og hvornår du skal foretage forudgående høring af Datatilsynet.
Hvornår er en konsekvensanalyse obligatorisk?
Artikel 35, stk. 1, kræver en konsekvensanalyse, når en behandling sandsynligvis vil indebære en høj risiko. Artikel 35, stk. 3, nævner tre klassiske tilfælde:
- Systematisk og omfattende vurdering af personlige forhold baseret på automatisk behandling, herunder profilering, som ligger til grund for afgørelser med retsvirkning (eller tilsvarende betydelig virkning).
- Behandling i stort omfang af følsomme oplysninger (art. 9) eller oplysninger om strafbare forhold (art. 10).
- Systematisk overvågning af et offentligt tilgængeligt område i stort omfang (fx videoovervågning).
EDPB’s vejledning (WP 248) opstiller ni kriterier, hvoraf to eller flere som tommelfingerregel udløser pligten: evaluering/scoring, automatiske afgørelser, systematisk overvågning, følsomme oplysninger, stort omfang, sammenstilling af datasæt, sårbare registrerede (fx børn eller ansatte), innovativ teknologi og behandling, der forhindrer udøvelse af en rettighed.
Datatilsynet har desuden offentliggjort en liste over behandlingsaktiviteter, hvor en konsekvensanalyse altid kræves — blandt andet behandling af biometriske oplysninger til entydig identifikation, behandling af genetiske oplysninger og visse former for overvågning af ansatte. Behandlinger, der udløser en konsekvensanalyse, bør markeres i din fortegnelse over behandlingsaktiviteter.
De fire trin i en konsekvensanalyse
En brugbar konsekvensanalyse følger fire trin, som modsvarer kravene i artikel 35, stk. 7:
1. Beskriv behandlingen
Beskriv systematisk behandlingen: formål, kategorier af oplysninger og registrerede, behandlingsgrundlaget efter artikel 6, modtagere, opbevaringsperioder og datastrømme (herunder underdatabehandlere og tredjelandsoverførsler). Beskrivelsen bør trække direkte på fortegnelsen og de tilhørende databehandleraftaler.
2. Vurder nødvendighed og proportionalitet
Er behandlingen nødvendig for at opnå formålet, eller kan formålet nås med færre oplysninger? Vurdér dataminimering, opbevaringsbegrænsning, information til de registrerede og deres mulighed for at udøve rettigheder. Dette trin hænger tæt sammen med princippet om databeskyttelse gennem design.
3. Identificér og vurder risiciene
Kortlæg risiciene for de registrerede — ikke for organisationen. Tænk i konsekvenser: identitetstyveri, diskrimination, tab af fortrolighed, økonomisk skade, omdømmetab. Vurdér både sandsynlighed og alvor for hver risiko.
4. Fastlæg foranstaltninger
Beslut, hvordan hver risiko håndteres: kryptering, pseudonymisering, adgangsstyring, sletterutiner, uddannelse, kontraktvilkår. Restrisikoen efter foranstaltningerne afgør, om du kan gå videre, eller om der kræves forudgående høring.
Hvem inddrages, og hvornår gentages analysen?
En konsekvensanalyse er ikke en solo-øvelse. For at blive brugbar bør den inddrage flere roller:
- Databeskyttelsesrådgiveren skal rådgive om analysen og overvåge dens gennemførelse (art. 35, stk. 2, og art. 39, stk. 1, litra c). DPO’ens råd og eventuelle afvigelser bør dokumenteres.
- De systemansvarlige og forretningen kender behandlingen og de tekniske detaljer.
- IT-sikkerhed vurderer de tekniske foranstaltninger.
- Hvor det er hensigtsmæssigt, kan de registreredes synspunkter indhentes (art. 35, stk. 9), fx via medarbejderrepræsentanter.
Analysen skal revideres, når risikoen ved behandlingen ændrer sig — nyt formål, ny teknologi, ny databehandler eller ændret omfang. En god tommelfingerregel er at gennemgå analyserne mindst hvert andet år, også selv om behandlingen tilsyneladende er uændret.
Kort eksempel: rekrutteringsværktøj med automatisk scoring
Et værktøj, der automatisk rangerer ansøgere, kombinerer flere risikofaktorer: evaluering/scoring, mulige automatiske afgørelser og sårbare registrerede (ansøgere i et magtforhold). Beskrivelsen fastlægger, hvilke oplysninger der scores på; nødvendighedsvurderingen spørger, om scoringen overhovedet er nødvendig, eller om en menneskelig vurdering rækker; risikovurderingen ser på faren for diskrimination og fejlagtig frasortering; og foranstaltningerne kan omfatte menneskeligt gennemsyn af afgørelser, gennemsigtighed over for ansøgerne og test for skævhed i modellen. Restrisikoen afgør, om der kræves forudgående høring.
Forudgående høring af Datatilsynet (art. 36)
Hvis konsekvensanalysen viser, at behandlingen fortsat vil indebære en høj restrisiko, som du ikke kan afbøde med rimelige midler, skal du efter artikel 36 rådføre dig med Datatilsynet, inden behandlingen påbegyndes. Tilsynet kan give skriftlig rådgivning eller udnytte sine beføjelser efter artikel 58, herunder at nedlægge forbud mod behandlingen. Forudgående høring er en undtagelse — de fleste konsekvensanalyser ender med, at risikoen kan håndteres uden høring.
Konsekvensanalysen er ikke et engangsdokument. Den skal revideres, når risikoen ved behandlingen ændrer sig — fx ved nyt formål, ny teknologi eller ny underdatabehandler. Databeskyttelsesrådgiveren skal rådgive om og overvåge gennemførelsen (art. 39, stk. 1, litra c). En platform som Legiscope kan koble konsekvensanalyserne til de relevante behandlinger i fortegnelsen, så en ændring i behandlingen automatisk markerer analysen til fornyet vurdering.
Konsekvensanalysen i det samlede compliance-billede
En konsekvensanalyse står sjældent alene — den trækker på og fører videre til flere andre forpligtelser:
- Ind i analysen går oplysninger fra din fortegnelse over behandlingsaktiviteter (formål, kategorier, modtagere) og fra dine databehandleraftaler (hvem behandler hvad, og hvor).
- Ud af analysen kommer konkrete foranstaltninger, der ofte implementeres gennem databeskyttelse gennem design — pseudonymisering, adgangsstyring, sletterutiner — samt en dokumenteret restrisiko, der afgør, om der kræves forudgående høring.
Derfor er konsekvensanalysen ikke et isoleret dokument, men et bindeled i dokumentationen. Den er også et af de stærkeste beviser på ansvarlighed (art. 5, stk. 2), hvis Datatilsynet senere ser på behandlingen.
Kilder og videre læsning
Det retlige grundlag findes i artikel 35 i databeskyttelsesforordningen, suppleret i dansk ret af databeskyttelsesloven (lov nr. 502 af 23. maj 2018). Datatilsynet har desuden offentliggjort en liste over behandlingstyper, hvor en konsekvensanalyse altid er påkrævet — tjek altid din behandling mod denne liste, inden du konkluderer, at en analyse ikke er nødvendig. Følg listen, og dokumentér din vurdering, uanset om du gennemfører en analyse eller ej.
Ofte stillede spørgsmål
Hvad er forskellen på en risikovurdering og en konsekvensanalyse?
En risikovurdering efter artikel 32 fokuserer på sikkerheden ved behandlingen — fortrolighed, integritet og tilgængelighed. En konsekvensanalyse efter artikel 35 er bredere: den vurderer alle risici for de registreredes rettigheder og friheder, herunder proportionalitet, information og retsudøvelse. Konsekvensanalysen er kun obligatorisk ved høj risiko, mens en form for risikovurdering altid er nødvendig.
Skal konsekvensanalysen sendes til Datatilsynet?
Nej, ikke som udgangspunkt. Konsekvensanalysen opbevares som en del af din dokumentation og fremlægges på anmodning. Kun hvis analysen viser en høj restrisiko, som ikke kan afbødes, skal du foretage forudgående høring efter artikel 36.
Hvad sker der, hvis jeg ikke laver en påkrævet konsekvensanalyse?
Manglende konsekvensanalyse ved en højrisikobehandling er et selvstændigt brud på artikel 35. I Danmark kan Datatilsynet udtale kritik, give påbud eller indstille den dataansvarlige til bøde via politianmeldelse, hvorefter domstolene fastsætter bøden. Manglende risikostyring indgår desuden som et skærpende element, hvis behandlingen senere fører til et sikkerhedsbrud.
Kan én konsekvensanalyse dække flere behandlinger?
Ja. Artikel 35, stk. 1, tillader udtrykkeligt, at en enkelt analyse omfatter en række lignende behandlinger, der indebærer tilsvarende høje risici. Det er praktisk for organisationer, der udruller den samme type behandling flere steder — fx ensartet videoovervågning på flere lokationer eller det samme HR-system i flere afdelinger. Betingelsen er, at behandlingerne reelt ligner hinanden i karakter, omfang, sammenhæng og formål, så risikobilledet er det samme.
Konklusion
En konsekvensanalyse er obligatorisk, når en behandling sandsynligvis indebærer høj risiko for de registrerede — og den skal laves, inden behandlingen begynder. Følg de fire trin: beskriv behandlingen, vurdér nødvendighed og proportionalitet, kortlæg risiciene og fastlæg foranstaltninger. Tjek altid mod Datatilsynets liste over behandlinger, der altid kræver en analyse, og foretag forudgående høring, hvis restrisikoen forbliver høj. Knyt analyserne til din fortegnelse, og lad DPO’en overvåge gennemførelsen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial