Secify.com

Konsekvensbedömning och GDPR: hitta riskerna innan behandlingen - så här gör du!

13 april, 2022
Uppdaterad: 6 mars, 2024
Uppskattad lästid: 6 min

Introduktion

Konsekvensbedömning – inte lika svårt som det låter

Konsekvensbedömning avseende dataskydd är en jobbig mening. Vi pratar helst inte om det förrän vi måste. Många, i övrigt kloka och kompetenta människor, tycks ofta gå i baklås när man för konsekvensbedömning på tal. Det fåtal som jag möter som vet vad det innebär, arbetar själv med dataskyddsfrågor, liksom jag. Men ska man verkligen behöva vara ett dataskyddsproffs för att förstå vad en konsekvensbedömning går ut på? Det korta svaret är nej.

Konsekvensbedömning avseende dataskydd behöver inte vara komplicerat. I sin enkelhet är det en process för att identifiera integritetsrisker innan den planerade personuppgiftsbehandlingen. Det gör att du som organisation får större förståelse för personuppgiftsbehandlingens konsekvenser och risker samt hjälper er när ni ska avgöra vilka säkerhetsåtgärder ni ska vidta eller vilka tekniska lösningar som ni ska välja. Andra fördelar är att ni visar allmänheten att ni värnar om deras personuppgifter, efterlever kraven i GDPR och genom det minskar risken för att drabbas av administrativa sanktionsavgifter från Integritetsskyddsmyndigheten (IMY).

Tillspetsat kan man säga att en konsekvensbedömning är som en schweizisk armékniv som på ett magiskt sätt löser flera integritetsproblem.

Dels att ni som organisation både uppmärksammar och införlivar integritetsaspekten i personuppgiftsbehandlingens alla delar, vidtar förebyggande åtgärder i tid och sist men inte minst, undviker framtida personuppgiftsincidenter som kan bli väldigt kostsamma för organisationen.

Ordlista

Konsekvensbedömning
En process för att identifiera risker kopplat till personuppgifter

Integritetsrisk
Risken att en personuppgift på något sätt utsätts för en risk

Immateriella skador
Skador på person. Exempelvis sveda, värk, olägenhet eller lidande till följd av kränkningen av rättigheterna.

Pseudonymisering
Anonymisering av personlig information. Personens identitet ersätts av ett ID-nummer som sedan går att identifiera via en förteckning.

När behöver man då göra konsekvensbedömning?

Utgångspunkten är att en konsekvensbedömning behöver göras om behandlingen av personuppgifter kan leda till en hög integritetsrisk för de registrerade. Här är fyra exempel.

Inom arbetslivet

  • En arbetsgivare som systematiskt övervakar hur de anställda använder internet och e-post.
  • Verksamheter som utför bakgrundskontroller inför rekryteringar.

Inom hälso- och sjukvård

  • En vårdgivare som samlar in och lagrar känsliga personuppgifter som ska utgöra underlag för urval för framtida forskningsändamål.
  • En vårdgivare som inom ramen för ett utvecklingssamarbete, lämnar ut pseudonymiserade journaluppgifter till en annan vårdgivare med säte utanför EU/EES.

Inom kommunala sektorn

  • Ett kommunalt bostadsbolag som kameraövervakar trapphus, källarförråd och liknande för att förebygga, förhindra, upptäcka och utreda brott samt öka säkerheten och tryggheten på platsen.
  • En kommun som samlar in personuppgifter i samband med anställdas användning av kommunens tjänstebilar, innefattande bland annat lokaliseringsuppgifter och hastighet i syfte att utreda fortkörningar och felparkeringar i tjänsten.

Inom teknik

  • Ett företag som tillhandahåller internetuppkopplade produkter (IoT) för konsumenters bostäder (smarta hem-produkter), till exempel för att kunna fjärrstyra uppvärmning, belysning eller ljuduppspelning, samlar in detaljerade uppgifter om hur kunderna använder tjänsterna.
  • Verksamheter som gör stora ändringar i sin tekniska infrastruktur och som behandlar personuppgifter inom exempelvis hälso- och sjukvård eller social omsorg.

Det finns även situationer som inte kräver en konsekvensbedömning är. Det är till exempel:

  • om behandlingen av personuppgifter inte sannolikt leder till en hög risk för de registrerade.
  • om det tidigare gjorts en konsekvensbedömning för en liknande behandling av personuppgifter, eller kontrollerats av en tillsynsmyndighet eller dataskyddsombud och vars resultat inte har ändrats sedan föregående kontroll.

Men nu till den stora frågan, vad ska då en konsekvensbedömning innehålla?

Är det källhänvisning till GDPR, särskilda analytiska begrepp, vissa typer av perspektiv, en fingertoppkänsla för det juridiska landskapet inom dataskydd eller kanske en uppsättning av metodologiska dataskyddsverktyg? Eller är det bara ett nödvändigt ont i manchesterkavaj som ser bra ut när det är klart?

Här nedan följer sex steg för hur ni som organisation kommer igång med en konsekvensbedömning.

Steg 1.

En konsekvensbedömning ska genomföras innan den planerade personuppgiftsbehandlingen och fungera som ett underlag för att bedöma sannolikheter för integritetsrisker och dess konsekvenser. Med det som underlag kan ni som organisation fatta beslut och vidta åtgärder för att minimera dessa risker. Påbörja därför konsekvensbedömningen så tidigt som möjligt och låt den vara en del av utvecklingsprocessen.

Steg 2.

För att bedöma riskerna för de registrerade behöver ni som organisation titta på flera faktorer i den planerade personuppgiftsbehandlingen (1-4):

  1. ändamålet dvs syftet med den planerade personuppgiftsbehandlingen. Tänk även här på att beskriva om hela processen är en enda personuppgiftsbehandling eller om det finns flera personuppgiftsbehandlingar som har samband med varandra.
  2. bedömning om behandlingen är nödvändig och proportionerlig i förhållande till syftena med den. Det innebär att ni som organisation ska göra en avvägning mellan; å ena sidan, intresset av den personliga integriteten och å andra sidan väga det mot behovet att behandla uppgifterna. För att det ska vara proportionerligt ska fördelarna med behandlingen överväga riskerna.
  3. bedömning av riskerna för de registrerades fri och rättigheter. Det innebär att ni som organisation behöver koppla de integritetsrisker som har identifierats med hur det kan bli en skada för den enskilde utifrån immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt m.m.
  4. de åtgärder som planeras för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs. Det innebär att ni som organisation behöver beskriva vilka tekniska och administrativa skyddsåtgärder som vidtas och motivera dem på en övergripande nivå. Utifrån införda åtgärder behöver det göras en bedömning om det fortsatt föreligger en hög risk för de registrerade.

Steg 3.

Minimera integritetsriskerna genom att:

  1. överväga om det är möjligt att uppnå ändamålet med personuppgiftsbehandlingen på ett annat sätt så att integritetsriskerna inte uppstår.
  2. vidta åtgärder som minimerar integritetsriskerna såsom till exempel autentisering, kryptering, rutiner och tydlig information om säkerhet till systemets användare, loggning, stöd för säkerhetskopiering, pseudonymisering av personuppgifter, behörighetsstyrning, automatisk gallring av personuppgifter, utforma IT-systemet så att inte fler personuppgifter än nödvändigt behandlas (inbyggt dataskydd och dataskydd som standard).

Steg 4.

Motivera och dokumentera de val som görs, till exempel vidtagna åtgärder (eller beslut att inte vidta åtgärder) för att minimera integritetsriskerna.

Steg 5.

Överväg att publicera hela eller delar av genomförd konsekvensbedömning. En sådan publicering kan hjälpa er organisation att leva upp till dataskyddsförordningens principer om öppenhet och ansvarsskyldighet.

Steg 6.

Konsekvensbedömning är en pågående process som behöver ses över kontinuerligt och omvärderas regelbundet. Följ upp tidigare genomförda konsekvensbedömningar.

Vem gör vad?

Konsekvensbedömning är inte en engångsföreteelse som utförs av en enskild anställd. Det är en laginsats där olika kompetenser och funktioner kan behöva involveras. Vilka beror på organisationen och den interna arbetsfördelningen. Men vanligtvis är det till exempel IT-avdelning, jurister, externa experter inom juridik, säkerhet och teknik.

Vi hjälper er med konsekvensbedömningar

För hjälp med konsekvensbedömning finns det flera vägar att gå. Den Europeiska dataskyddsstyrelsen (EDPB) har publicerat riktlinjer angående konsekvensbedömningar. Dessutom tillhandahåller den brittiska tillsynsmyndigheten för dataskydd, Information Commissioner’s Office (ICO) en kostnadsfri mall på engelska för konsekvensbedömning.

Vi på Secify har ett utarbetat arbetssätt för att genomföra konsekvensbedömningar och analysera integritetsrisker avseende de personuppgifter som behandlas. Vi har ett fulltäckande team med jurister och rådgivare inom informationssäkerhet och dataskydd.

Kontakta oss för att få tillgång till mallar, förhandsbedömning, kompetenser, metoder och rådgivning för konsekvensbedömning.

2024-03-06T17:52:01+01:00
Oliver Zellweger

Skrivet av: Oliver Zellweger

Informationssäkerhet och dataskydd ska alltid utvecklas utifrån ett övergripande verksamhetsperspektiv. Effekten och nyttan av de nya arbetssätt som skapas som en följd av införande av ett ledningssystem för informationssäkerhet eller dataskydd, bestäms i slutändan hur väl det taktar med befintliga kompetenser, roller och verksamhetsprocesser. Jag är i grunden statsvetare med en pol. master i offentlig förvaltning med inriktning ledning och styrning.

Min spetskompetens ligger inom ledning, styrning och utveckling av dataskydd och informationssäkerhet inom offentlig sektor, där jag har arbetat med olika uppdrag innan jag klev in som senior rådgivare på Secify. Jag har exempelvis arbetat som dataskyddsombud och informationssäkerhetssamordnare för en småskalig kommun i Dalsland, dataskyddssamordnare på Region Halland och haft en rad olika specialistroller inom dataskydd och informationssäkerhet på Secify.

Min passion är att förstå det sammanhang där utveckling sker och finnas till för individen som ska använda de processer som tas fram. Det är när vi arbetar utifrån organisationens krav på säkerhet samtidigt som vi möter medarbetarnas behov av enkla och praktiska lösningar som vi uppnår förändring på riktigt.

Oliver Zellwegers senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen