Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der konkret er relevante for at nedbringe risikoen ved processen for offentliggørelse af information, som kan indeholde personoplysninger.
Mange myndigheder behandler personoplysninger, herunder af fortrolig og følsom karakter, og offentliggør ofte dokumenter eller oplysninger af principiel karakter, eller som er af almen interesse. Derfor er kontrol af materiale før offentliggørelse særlig relevant for sådanne myndigheder.
Dataansvarlige, der modtager eller udarbejder materiale med henblik på offentliggørelse (typisk relevant offentlige myndigheder), og hvor materialet ofte indeholder personoplysninger, herunder i form af metadata, skal have forebyggende foranstaltninger for at undgå utilsigtet offentliggørelse af personoplysninger. Det indebærer som minimum en proces for at gennemgå materialet og slette personoplysninger, der ikke skal offentliggøres. Kan materialet almindeligvis indeholde fortrolige oplysninger (fx et personnummer eller oplysninger om en beskyttet adresse) eller følsomme oplysninger (oplistet i artikel 9 i databeskyttelsesforordningen), vil det normalt være relevant med en supplerende manuel eller teknisk kontrol af, om oplysningerne rent faktisk er blevet slettet eller anonymiseret som tiltænkt – før offentliggørelse af materialet.
En automatisk scanning af allerede offentliggjort materiale kan være nødvendig på grund af følgende:
- Scanningen kan opdage mangler ved de kontroller, der burde have fjernet personoplysninger før offentliggørelse af materialet. Scanningen kan på den måde opdage og standse brud på persondatasikkerheden.
- Scanningen kan omfatte materiale, der er offentliggjort på et tidligere tidspunkt, hvor kontroller – som den gang blev udført før eller efter offentliggørelse af materialer – var mindre effektive. Eksempelvis kan scanningsværktøjet være blevet mere effektivt i mellemtiden, eller manuelle kontroller har manglet ved tidligere offentliggørelser.
En automatisk scanning af allerede offentliggjort materiale kan være relevant, jf. databeskyttelsesforordningens artikel 32, stk. 1, litra d, om periodisk afprøvning af sikkerhedsforanstaltningers effektivitet, fordi det er en afprøvning af, om andre eller tidligere udførte kontroller var effektive nok.