Hvorfor risikovurderingen skal handle om ansøgerne
Datatilsynet beskriver risikovurdering som en vurdering af risici ved planlagte og eksisterende behandlinger af personoplysninger. Den handler derfor ikke kun om risikoen for bøder, dårlig omtale eller ekstra arbejde for bestyrelsen. Den skal se på konsekvenserne for de personer, oplysningerne vedrører.
For en andelsboligforening kan skaden være praktisk og personlig: en ansøger får forkert placering, mister et boligtilbud, får delt kontaktoplysninger, bliver slettet ved en fejl eller får private boligønsker vist til for mange personer.
Typiske risikoscenarier for ventelister
En god risikovurdering starter med konkrete scenarier. Bestyrelsen bør beskrive, hvad der kan gå galt, hvem der bliver påvirket, og hvilke arbejdsgange der gør risikoen større eller mindre.
Forkert anciennitet
Konsekvens: En ansøger kan miste et boligtilbud eller en fortrinsret, hvis import, sortering eller manuel rettelse er forkert.
For bred adgang
Konsekvens: Flere end nødvendigt kan se kontaktdata, betalinger, boligønsker, klager eller beskedhistorik.
Manglende sletning
Konsekvens: Tidligere ansøgere bliver liggende uden formål, og gamle oplysninger kan indgå i nye fejl eller unødige eksporter.
Uautoriseret eksport
Konsekvens: Hele listen kan kopieres, videresendes eller gemmes lokalt uden kontrol med adgang, sletning og historik.
Tab af data
Konsekvens: Placering, betaling, svarfrister og historik kan forsvinde, hvis backup og gendannelse ikke er testet.
Manglende underretning ved brud
Konsekvens: Berørte ansøgere får ikke mulighed for at reagere, og foreningen mister overblik over anmeldelse, dokumentation og opfølgning.
En enkel risikomatrix til bestyrelsen
Risikovurderingen kan holdes enkel, hvis den er konkret. Brug sandsynlighed, konsekvens og foranstaltninger som fast struktur på bestyrelsesmødet.
| Scenarie | Sandsynlighed | Konsekvens for ansøger | Foranstaltning |
|---|---|---|---|
| Forkert import fra regneark | Middel | Forkert placering eller tabt anciennitet. | Importlog, stikprøvekontrol og godkendelse før go-live. |
| Bestyrelsesmedlem har for bred adgang | Middel | Unødig indsigt i kontaktdata, betaling og beskeder. | Roller, behovsadgang og kvartalsvis adgangsgennemgang. |
| Eksport sendes usikkert | Lav til middel | Hele listen kan deles med uvedkommende. | Eksportbegrænsning, sikker transmission og logning. |
| Gammel liste gemmes lokalt | Middel | Gamle eller slettede ansøgere behandles uden formål. | Sletteproces, databehandleraftale og exit-kontrol. |
| Backup kan ikke gendannes | Lav | Betaling, frister og historik kan gå tabt. | Restore-test, backupplan og dokumenteret gendannelsespunkt. |
| Sikkerhedsbrud opdages sent | Lav til middel | Ansøgere kan ikke reagere rettidigt. | Brudprocedure, ansvarsliste og logning af hændelser. |
Hvornår en konsekvensanalyse kan blive relevant
En konsekvensanalyse vedrørende databeskyttelse, ofte kaldet DPIA, er en mere formel proces end den almindelige risikovurdering. Datatilsynet beskriver den som en proces, der beskriver behandlingen, vurderer nødvendighed og proportionalitet og bidrager til at håndtere risici for fysiske personers rettigheder og frihedsrettigheder.
En almindelig venteliste vil ikke nødvendigvis kræve en DPIA. Men bestyrelsen bør stoppe op, hvis systemet ændres væsentligt, hvis der indføres omfattende profilering, automatiske afgørelser, nye datakategorier, stor ekstern deling eller behandling, der sandsynligvis indebærer høj risiko for de registrerede.
Foranstaltninger der bør vurderes
Risikovurderingen skal ende i handling. For en venteliste er de mest praktiske foranstaltninger ofte adgangsstyring, logning, dataminimering, sikre eksporter, backup, sletning og en klar procedure for sikkerhedsbrud.
Kobl vurderingen til adgangsstyring og roller, backup og gendannelse, sikkerhedsbrud, sletning og opbevaring og databehandleraftalen, så risici ikke kun står i et dokument.
Hvornår risikovurderingen skal opdateres
Risikovurderingen bør opdateres ved ny leverandør, ny administrator, ny selvbetjening, ændrede adgangsroller, større import, databrud, ændrede slettefrister, nye eksportmuligheder eller nye typer oplysninger på ventelisten.
Den bør også indgå i årshjulet og i fortegnelsen over behandlingsaktiviteter, så bestyrelsen kan se sammenhængen mellem formål, oplysningstyper, modtagere, opbevaring og sikkerhedsniveau.
Officielle kilder om risikovurdering og DPIA
Denne guide er praktisk og erstatter ikke juridisk rådgivning. Den bygger på Datatilsynets vejledning om risikovurdering, konsekvensanalyse, behandlingssikkerhed og sikkerhedsforanstaltninger.
Sådan hjælper Andels Venteliste
Andels Venteliste kan gøre risikovurderingen mere konkret ved at samle adgang, ændringslog, beskedhistorik, eksportspor, backup, slettefrister og rettighedsanmodninger samme sted.
Siden hænger især sammen med GDPR og sikkerhed, behandlingsgrundlag, fortegnelse, dataeksport og kravspecifikation til systemvalg.
Ofte stillede spørgsmål om risikovurdering
Skal en andelsboligforening lave risikovurdering af ventelisten?
Ja, foreningen bør kunne vise, at sikkerhedsniveauet er valgt ud fra de konkrete risici ved ventelistedata og de personer, oplysningerne vedrører.
Er risikovurdering det samme som konsekvensanalyse?
Nej. Risikovurderingen er den løbende vurdering af risici og foranstaltninger. En konsekvensanalyse, DPIA, er en mere formel proces, der især er relevant ved høj risiko.
Hvem bør eje risikovurderingen?
Bestyrelsen bør eje vurderingen som dataansvarlig, men den bør laves med input fra administrator, leverandør og den person, der kender den daglige ventelistepraksis.