Genvejsmenu:
S - Indhold
1 - Forside
2 - Aktuelt
3 - Oversigt
4 - Søg

Baggrundsinformation

[ OSS oversigt ] [ Baggrundsinformation]


Hvad er Privacy Impact Assessment?

I den internationale debat om privatlivs beskyttelse (privacy) er udviklet en ramme for vurdering af konsekvenser af et it system's behandling af personlige oplysninger for privatlivet og den personlige integritet. Der er tale om en struktureret risikoanalyse af mulige konsekvenser. Med introduktion af en Privacy Impact Assessment (PIA) peges på, at der – helt nødvendigt – må gennemføres en risikoanalyse tidligt i systemudviklingen og for så vidt også undervejs.

Den Canadiske databeskyttelses myndighed udgav i 2002 en omfattende vejledning: Privacy Impact Assessment Guidelines: A framework to Manage Privacy Risks, der har dannet 'skole' for PIA ( hentes fra www.privcom.gc.ca).

I Danmark har rapporter fra Teknologirådet anbefalet, at der indføres Privacy Impact Assessment ved udvikling af den digitale forvaltning. I rapporten ”Retssikkerhed og aktivt medborgerskab i digital forvaltning” (2005/13, hentes fra www.tekno.dk) anbefales ”at der gennemføres en konsekvensanalyse af data- og privatlivsbeskyttelsen forud for indførelse af it-systemer i den offentlige forvaltning. Analysen skal vurdere, hvilke konsekvenser systemerne har for de praktiske muligheder for at leve op til ”god databehandlingsskik” og persondatalovens øvrige regler. Men endnu vigtigere skal analysen danne grundlag for, at databeskyttelse indarbejdes i strategier og håndbøger for digital forvaltning. Dette indebærer, at der ved udvikling af it-systemer til digtal forvaltning allerede ved planlægningen af systemet skal tages hensyn til retssikkerhed og aktivt medborgerskab.

Det er en del af en Privacy Impact Assessment, at vurdere og sikre at behandlingen af personoplysninger er i overensstemmelse med Persondatalovens regler. Men med en PIA foretages også en bredere vurdering af bl.a. spørgsmål som:

•  Er behandling af personoplysninger nødvendig?

•  Kan der anvendes anonymiserede oplysninger?

•  Kan der anvendes privatlivssikrende teknologier (PETs) som giver den registrerede rådighed over person identifikationen.?

En sådan vurdering kan siges at være indeholdt i Persondatalovens generelle regel om at behandling af personoplysninger skal ske i overensstemmelse med god databehandlingsskik i § 5 (se vejledningen side 10)

ITEK og Dansk Industri har i 2006 udsendt ”God Privacy Praksis – en guideline for IT-leverandører og kunder. Formålet er ”på et overordnet plan at give anbefalinger til, hvordan privacy, som udtrykt gennem en række principper, kan implementeres i elektroniske løsninger” (hentes fra www.itek.dk). Dette branche initiativ vil forhåbentlig kunne fremme at analyse af privacy og overensstemmelse med persondataloven inddrages tidligt i systemudvikling.

Som fremlagt i PROSA's trykte vejledning må det forventes, at it-folk, som led i en professionel holdning, spiller en særlig rolle ved behandling af person oplysninger. En indfaldsvinkel hertil kan være at bidrage til gennemførelse af PIA ved forberedelse og udvikling af it-systemer. Den dataansvarlige bør (som anbefalet i det Canadiske framework) nedsætte en arbejdsgruppe som gennemfører en risikoanalyse ved systemer som påtænkes at behandle personoplysninger. Arbejdsgruppen bør dokumentere analyse i en rapport som danner grundlag for beslutninger om behandling af persondata. Et led i arbejdet må naturligt være at afklare retsgrundlaget i persondataloven og evt. anden lovgivning for behandlingen af personoplysninger og dermed være grundlag for sporbarhed fra denne beskrivelse af den 'gældende ret' som systemet skal håndtere og udførelsen i design og programkode.

I forhold til Persondataloven bør indgå følgende (baseret på mine noter fra konference oplæg fra Datatilsynet):

God databehandlingsskik

•  overhold loven, såvel i ånd som i bogstav

•  tilstræb gennemsigtighed og transparens

•  sørg for instruktion og oplæring af medarbejderne

Krav om saglighed og proportionalitet

•  kun nødvendige oplysninger

•  undgå unødig ophobning af personoplysninger

Pas på, hvis de oplysninger, som skal bruges, oprindeligt er registreret med henblik på andre formål, og den nu påtænkte brug af oplysningerne ikke er forenelig med de(t) oprindelige formål med registreringen.

Datakvalitet, ajourføring og sletning

•  sørg for god datakvalitet

•  skab sikkerhed for identiteten af den, der giver oplysningerne,

•  husk at rette eller slette urigtige eller vildledende oplysninger

•  slet oplysninger, når der ikke længere er brug for dem

•  sørg for, at der fastlægges sletterutiner (og arkivering efter arkivlovens regler)

Husk den enkeltes rettigheder:

•  oplysningspligten

•  indsigtsretten – evt. indbygge det i systemet, så brugerne let kan fremstille forståelige udskrifter, når de får begæringer om indsigt

•  lær medarbejderne, at de registrerede har ret til indsigt efter persondataloven, og hvordan der skal svares.

Få tjek på anmeldelserne til Datatilsynet

Etabler fornøden it-sikkerhed, som lever op lovens og sikkerhedsbekendtgørelsens krav om datasikkerhed.

Du kan læse mere om disse punkter i vejledningen.

Senest opdateret 18.02.2007

[ OSS oversigt ] [ Baggrundsinformation]

Downloads

Persondataloven

(PDF)
 

Interesseret i medlemskab

Vil du høre mere om medlemskab af PROSA.
Udfyld formularen, og bliv kontaktet:

Ønsker du at melde dig ind med det samme kan du benytte vores online indmelding.