Indhold

I denne Masterclass går vi i dybden med konsekvensanalyser efter GDPR og AI-forordningen. Kurset dækker hele livscyklussen for analyserne. Vi ser på, hvornår pligten til de to typer konsekvensanalyser udløses, og hvordan du identificerer og vurderer risici for databeskyttelse og andre grundlæggende rettigheder.Kurset gennemgår forskelle og ligheder mellem DPIA og FRIA og viser, hvornår og hvordan de med fordel kan gennemføres som én samlet, integreret proces.Emner er bl.a.:

• Overblik over konsekvensanalysernes formål og deres afgrænsning (scope).
• Trigger-analyser for, hvornår der er pligt til at udarbejde konsekvensanalyserne.
• Reglerne for, hvad konsekvensanalyserne skal indeholde.
• Forskelle og ligheder mellem en DPIA og en FRIA, herunder hvornår det giver mening at gennemføre analyserne i samme proces.
• Metode for risikoidentifikation, risikoanalyse, risikoevaluering og fastsættelse effektive mitigerende foranstaltninger.
• Relevante standarder, skabeloner og værktøjer for effektivt at gennemføre analyserne.
• Overblik over konsekvensanalysernes proces og livscyklus.
• Reglerne for, hvilke interessenter man skal inddrage i arbejdet, herunder de fysiske personer, DPO’en og tilsynsmyndighederne.
• Hvordan man sikrer, at konsekvensanalyser bliver tænkt ind tidligt i projekter.
• Hvordan man involverer ledelse og forretning, så konsekvensanalyserne understøtter beslutninger i stedet for at komme til sidst som en formalitet.
• Hvornår og hvordan konsekvensanalyser skal revurderes og opdateres.
• Governance og kontroller for effektiv vedligeholdelse af indsatsen.
• Sanktioner for manglende eller utilstrækkelig udarbejdelse af konsekvensanalyserne. 

Udbytte

• Have et klart overblik over kravene til konsekvensanalyser efter GDPR artikel 35 og AI forordningens artikel 27.
• Forstå formålet med de to typer af konsekvensanalyser, og hvad der adskiller dem fagligt og retligt.
• Have et overblik over processen med at udarbejde konsekvensanalyser fra start til slut.
• Kunne identificere, hvornår der er pligt til at gennemføre en DPIA og en FRIA.
• Kunne vurdere, hvornår det giver mening at lave én samlet konsekvensanalyse, og hvornår du bør holde dem adskilt.
• Have dybere indsigt i, hvordan man kan strukturere og gennemføre en risikobaseret analyse, herunder identificere risici for registreredes rettigheder og frihedsrettigheder og for andre grundlæggende rettigheder, som særligt fremhæves i AI forordningen.
• Have en forståelse af de typiske fejl og faldgruber, når man udarbejder konsekvensanalyserne.
• Have indblik i praktiske værktøjer, standarder og skabeloner til gennemførelse og dokumentation af konsekvensanalyser, inkl. involvering af relevante interessenter.
• Stå stærkere over for tilsynsmyndigheder, interne revisioner og ledelse, fordi du kan forklare og dokumentere de valg, I træffer.
• Kunne bruge konsekvensanalyser strategisk til at understøtte innovation og AI projekter, i stedet for at de bliver oplevet som en stopklods.
  
  

Baggrund

Pligten efter GDPR til at udarbejde konsekvensanalyser vedrørende databeskyttelse (DPIA) er et helt centralt instrument til risikohåndtering og databeskyttelsesretlig compliance. Pligten til at udarbejde en DPIA bliver mere og mere hyppig i praksis. Det skyldes ikke mindst udbredelse af AI-systemer eller andre nye datadrevne løsninger såsom brug af cloudløsninger. Her vil der som oftest være krav om at gennemføre en DPIA, når der behandles personoplysninger ved udvikling og drift af disse.
 
Samtidig indeholder AI-forordningen et nyt krav om, at brugere (idriftsættere) af visse højrisiko-AI-systemer skal udarbejde særlige konsekvensanalyser vedrørende grundlæggende rettigheder (FRIA).De to konsekvensanalyser efter GDPR og AI-forordningen er forskellige, om end der er væsentlige ligheder mellem dem. Det kan derfor ofte være relevant i praksis at lave de to analyser i den samme proces.

Målgruppe

Kurset er målrettet medarbejdere hos offentlige myndigheder, virksomheder og andre organisationer, der arbejder med GDPR eller AI-compliance.Kurset er særligt relevant til:

• Jurister, advokater, databeskyttelsesrådgivere (DPOer), AI-officers og øvrige compliancemedarbejdere, der har ansvar for eller skal bidrage til DPIA-processer og AI-governance.
• IT , digitaliserings- og AI-ansvarlige m.v., der arbejder med udvikling, indkøb eller drift af AI løsninger og øvrige digitale løsninger.
• Ledelse, projektledere og forretningsansvarlige, der træffer beslutninger om digitaliserings- og AI projekter og ønsker et solidt beslutningsgrundlag.
• Leverandører, udviklere og rådgivere, som hjælper kunder med at implementere AI og datadrevne løsninger på en compliant måde.

Kurset kan tages som et selvstændigt kursus eller i forlængelse af kurserne ”Kunstig intelligens og databeskyttelse”, som fokuserer på brugen af AI-systemer inden for rammerne af databeskyttelsesreglerne (GDPR), og ”AI-forordningen”, som giver et overblik over reglerne i AI-forordningen og hvordan man kan forberede sig herpå.Du får adgang til relevant kursusmateriale på JUC’s online materialeportal.Kurset kan godkendes som obligatorisk efteruddannelse for advokater.