EY refererer til den globale organisation og kan henvise til en eller flere af medlemsfirmaerne i Ernst & Young Global Limited, som hver især er en separat juridisk enhed. Ernst & Young Global Limited, som er et engelsk ‘company limited by guarantee’, yder ikke kunderådgivning.
Relateret artikel
Styrk arbejdet med databeskyttelse med interim assistance
Databeskyttelse kan være komplekst og ressourcekrævende. Fleksible ressourcer kan hjælpe med at skabe overblik og fremdrift.
Kortlægning er vejen frem
Alt starter med en tilstrækkelig kortlægning af data! Ved I ikke, hvordan jeres data reelt bliver behandlet, herunder til hvilke konkrete formål, er det ikke muligt for jer at finde hullerne i osten og få implementeret de nødvendige databeskyttelsesretlige tiltag.
Den detaljerede kortlægning er forudsætningen for jeres risikovurderinger og implementering af sikkerhedsforanstaltninger, identifikationen af jeres databehandlere, grundlaget for jeres vurdering af lovgrundlag m.v. Det er med andre ord kortlægningen, der skal sikre organisationens datagrundlag og datakvalitet, hvilket også er helt centralt for organisationens mere generelle digitaliseringstiltag.
At fokus skal være på dataen bliver heller ikke mindre tydeligt af Datatilsynets netop offentliggjorte skabeloner til gennemførelse af konsekvensanalyser – ikke mindst skabelonen målrettet databeskyttelse til AI-løsninger.
Ikke overraskende synes nødvendigheden af overblik og gennemsigtighed forstærket, når man taler AI. AI anses af Datatilsynet som ny teknologi, der i sig selv kan være forbundet med øgede risici, og kravene til den fundamentale kortlægning af databehandlingen er af den grund afgørende og skal dække den fulde AI-livscyklus (såvel udviklings-, test- og driftsfasen).
Som Datatilsynet har udtalt, så er en systematisk beskrivelse af behandlingsaktiviteter forudsætningen for efterlevelse af de enkelte krav i databeskyttelsesforordningen, herunder med en fuldstændig og helhedsorienteret beskrivelse af datastrømmene mellem systemer, personer, organisationer og eventuelt lande.
Kortlægning og risikovurdering skal tilsvarende være i fokus i jeres samlede leverandørstyring, hvor afdækning af datastrømme hænger uløseligt sammen med vilkårene i hoved- og databehandleraftalen, brugen af eventuelle underleverandører og potentiel behandling i lande uden for EU.
Som de seneste afgørelser vedr. brugen af cloud-løsninger fra bl.a. Datatilsynet og Det Europæiske Databeskyttelsesråd (EDPB) illustrerer, kræves det, at organisationerne har styr på det fulde leverandørforhold, herunder ikke mindst afdækningen af, hvorvidt data behandles til leverandørernes egne formål, og om der er lovgrundlag for en sådan videregivelse.