Henger du fast i utarbeidelsen av GDPR dataflytanalysen? Les da videre her. Du trenger nemlig ikke gjøre mer enn det som er nødvendig. Og en dataflytanalyse er ikke nødvendig.
Det er ikke noen som helt vet hvordan ryktet har oppstått, men på et tidspunkt var det en utbredt oppfatning i profesjonelle kretser at det skulle utarbeides såkalte dataflytanalyser som en del av GDPR-forberedelsen.
Det har formentlig startet som en overfortolkning av lovteksten, og så har denne oppfatningen bare blitt hengende. Men faktum er at EUs personvernforordning ikke krever at det skal utarbeides en dataflytanalyse. Det står der at man skal lage en oversikt over behandlingsaktiviteter, og det er noe annet.
Det danske Justitsministeriet har dessuten nylig uttalt følgende om oversiktskravet: ”Kravet er ikke tiltænkt som en ”belastning” og medfører ikke i sig selv et krav om udarbejdelse af større analyser af datastrømme mv.”
Dataflytanalyse kan vise seg å bli et sisyfosarbeid
En dataflytanalyse gir et totalbilde av hele it-landskapet – f.eks. nettverk, infrastruktur, datalagring, databaser osv. – og hvordan data flyter gjennom og mellom alle applikasjoner, noen ganger helt nede på tabellnivå.
Hvis man har bare en ørliten kompleksitet i it-systemet sitt – og det har de fleste – så er det en gigantisk oppgave. Det er ikke uvanlig at f.eks. en kommune bruker 200–300 forskjellige systemer.
Og fordi en dataflytanalyse skal løpende vedlikeholdes, kan man begynne forfra med det samme man er ferdig. Det er et sisyfosarbeid.
Behandlingsaktiviteter er overkommelige
En dataflytanalyse kan være en god øvelse å gjøre for noen virksomheter på et eller annet nivå. Men når nå EUs personvernforordning ikke krever at man skal gjøre det, så er det ingen grunn til å bruke all sin tid og alle sine krefter på det.
En oversikt over alle behandlingsaktiviteter er en langt mer overkommelig oppgave. En oversikt over alle behandlingsaktiviteter forteller grovt sagt hvordan man behandler sine persondata og i hvilke prosesser.
Gjør kun det som er nødvendig
Vi anbefaler generelt at man kun gjør det som er nødvendig når det gjelder GDPR. Ellers drukner man lett i oppgaver.
I stedet for å bli sittende fast i en stor, utstudert dataflytanalyse er det mer fornuft i at man lager en oversikt over alle behandlingsaktiviteter, slik at man kan komme i gang med noen av de mange andre forberedelsene til GDPR.
Sjekkliste for behandlingsaktiviteter
Alle krav til en oversikt over behandlingsaktiviteter står i EUs personvernforordning artikkel 30. Som dataansvarlige skal dere kunne dokumentere:
- Navn på og kontaktinformasjon om den dataansvarlige
- Beskrivelse av formålet med behandlingen
- Beskrivelse av kategorier av registrerte, kategorier av personopplysninger og ev. kategorier av mottakere av personopplysninger (medregnet mottakere i tredjeland eller internasjonale organisasjoner)
- Der det er relevant: overføringer av personopplysninger til tredjeland eller internasjonale organisasjoner
- Periode for behandling, samt, hvis det er mulig, de forventede tidsfrister for sletting av de forskjellige kategorier av opplysninger
- Hvis det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene
Dette erstatter for øvrig den meldeplikten man hittil har hatt, og hvis dere allerede har laget meldinger til Datatilsynet, kan disse i stor grad gjenbrukes som oversikter over behandlingsaktiviteter.
Mer om behandlingsaktiviteter
Denne veiledning bygger på en 7-trinnsmodell, der en oversikt over behandlingsaktiviteter nettopp inngår i trinn 1 – Identifikasjonsfasen.
