Er du i fuld gang med jeres GDPR-forberedelser, men hænger fast i udarbejdelsen af dataflowanalysen? Så læs med her. Du skal nemlig ikke gøre mere end det nødvendige. Og en dataflowanalyse er ikke nødvendig.
Der er ikke rigtigt nogen, der ved, hvordan rygtet er opstået. Men på et tidspunkt florerede det i professionelle kredse, at man skulle udarbejde såkaldte dataflowanalyser som en del af GDPR-forberedelsen.
Det er formentlig startet som en overfortolkning af lovteksten, og så er den bare blevet hængende. Men faktum er, at EU's Databeskyttelsesforordning ikke kræver, at man udarbejder en dataflowanalyse. Der står, at man skal lave en fortegnelse over behandlingsaktiviteter, og det er noget andet.
Justitsministeriet har desuden for nyligt udtalt om fortegnelseskravet, at: ”Kravet er ikke tiltænkt som en ”belastning” og medfører ikke i sig selv et krav om udarbejdelse af større analyser af datastrømme mv.”
En dataflowanalyse er et totalbillede af hele it-landskabet – eks. netværk, infrastruktur, storage, databaser osv. – og hvordan data flyder igennem og imellem alle applikationer, nogen gange helt nede på tabelniveau.
Hvis man har bare en smule kompleksitet i sin it – og det har de fleste – så er det en gigantisk opgave. Det er ikke usædvanligt, at f.eks. en kommune anvender 200-300 forskellige systemer.
Og fordi en dataflowsanalyse løbende skal vedligeholdes, kan man begynde forfra, i det øjeblik man er færdig. Det er en Sisyfos-opgave.
En dataflowanalyse kan være en god øvelse at lave for nogle virksomheder på et eller andet niveau. Men når nu EU Persondataforordningen ikke kræver, at man gør det, så er der ingen grund til, at man bruger al sin tid og kræfter på det.
En fortegnelse over alle behandlingsaktiviteter er en langt mere overkommelig opgave. En fortegnelse over alle behandlingsaktiviteter fortæller groft sagt, hvordan man behandler sine persondata og i hvilke processer.
I NorthGRC anbefaler man generelt, at man kun gør det nødvendige i forhold til GDPR. Ellers drukner man hurtigt i opgaver.
I stedet for at sidde fast i en stor, forkromet dataflowanalyse giver det bedre mening at lave fortegnelsen over alle behandlingsaktiviteter, så man kan komme i gang med nogle af de mange andre forberedelser til GDPR.
Alle krav til et register over behandlingsaktiviteter står i Databeskyttelsesforordningen artikel 30. Som dataansvarlige skal I kunne dokumentere:
Dette erstatter i øvrigt den hidtidige anmeldelsespligt, og hvis man allerede har lavet anmeldelser til Datatilsynet, kan disse i vidt omfang genbruges som fortegnelser over behandlingsaktiviteter.